Ocak 7, 2014

Slide1_1 Slide1_2

Reklamlar

AB VERİ GENEL VERİ KORUMA REGULASYONU VE KİŞİSEL VERİLERİN KORUNMASI

Haziran 10, 2018

Yazan: Av. Faruk Çayır, Ankara Barosu ve Alternatif Bilişim Derneği

Kişisel verilerin korunması ile ilgili olarak ülkemizde ve tüm dünyada uzun yıllardan beri çalışmalar ve düzenlemeler yapılmakla birlikte, kişisel verilerin korunması hususu teknolojinin gelişimi karşısında hızla boyut değiştirmektedir. Küresel anlamda bilgi işlem hizmetlerinin yaygınlaşması ve ülkeler arasında artan veri trafiği nedeniyle sosyal ve ekonomik açıdan uluslararası öneme sahip hale gelmiştir. Sosyal ağlar, bulut bilişim, büyük veri analizi, lokasyon bazlı hizmetler ve akıllı kart gibi teknolojik gelişmeler ve küreselleşmenin getirdiği zorunluluklar başta olmak üzere pek çok etken kişisel verilere erişim, verilerin toplanması ve kullanımı yöntemlerini derinden etkilemekte ve değiştirmektedir. Bu nedenle, küresel anlamda ülkelerin veri koruma hukuki altyapılarını güncel teknolojik gelişmelerle uyumlaştırma yönünde adımlar atılmaya başlamıştır.

Kişisel verilerin korunması konusunda AB’de 1995 yılında yürürlüğe giren 95/46/AT sayılı AB Veri Koruma Yönergesi kişisel verilerin korunması alanında tüm dünyada kabul gören bir çerçeve sunmaktadır. Ancak bahsetmiş olduğumuz teknolojik gelişmeler sonucunda, Avrupa Komisyonu tarafından üye ülkelerde uygulanmakta olan AB veri koruma kurallarında, Veri Koruma Yönerge’sinde benimsenen ilkelerin modernize edilmesi ve gelecekte vatandaşların mahremiyet hakkının garanti altına alınması amacıyla, kapsamlı bir reforma gidilmesi ihtiyacı ortaya çıkmıştır.

1995 yılından itibaren AB üyesi ülkeler açısından uygulamada meydana gelen farklılıklar ve dijital dünyayla daha uyumlu hale getirilmesi ihtiyacı, ortaya çıkan somut uyuşmazlıklar ve bu değişimi kaçınılmaz kılan siyasi açmazlar sebebiyle giderek zorunlu bir hal almıştır. Bu olayların başında, konuyla doğrudan olmasa da etkisi bakımından büyük ilgisi olan, 2013 yılında Edward Snowden tarafından ortaya çıkarılan mahremiyet ihlalleri gelmektedir. Bunun dışında geçtiğimiz yıl ABD de yapılan seçimlere ilişkin Facebook’ un kişilere ait verileri satması ve bu verilerin seçimlerde yönlendirme ve manipülasyona yönelik olarak kullanılması ile ilgili skandal kişisel verilerinin korunmasının önemini bir kez daha ortaya koymuştur.

Snowden’ın açıklamaları  Avrupa Birliği Adalet Divanı’nın (ATAD) mevcut hukuki uygulamalarında önemli bir değişim yaklaşımı benimsenmesine sebep olmasının yanında Avrupa’da bireyin internetteki haklarının korunması konusundaki genel anlayışını da oldukça katılaştırmasına neden olmuştur. Mahkemenin bu çerçevede almış olduğu;

– unutulma hakkı konusundaki Google-İspanya kararı,

-mobil veya internet telefonu ile e-posta iletişimi verilerinin saklanması hususunda muhtemel bir soruşturma, araştırma ve suçun kovuşturulması amacıyla makul suç şüphesi bulunması gerektiğine ilişkin, 2006/24/EC sayılı Veri Saklama Direktifi’ ni geçersiz kıldığı İrlanda Dijital Haklar kararı,

– Facebook tarafından kişisel verilerinin ABD’de tutulmasına ilişkin eşdeğer bir koruma seviyesinin bulunmaması nedeniyle Güvenli Liman Anlaşmasını geçersiz kıldığı M.Schrems-Veri Koruma Komisyonu Kararı

kişisel verilerin korunması konusunda yeni ve kapsamlı bir reformu zorunlu kılmıştır.

Bu kapsamda, AB veri koruma kurallarında köklü bir reformu ihtiva eden “Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR)” Avrupa Parlamentosu tarafından 14 Nisan 2016 tarihinde onaylanmıştır. AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR) 25 Mayıs 2018 tarihinde yürürlüğe girmiştir.

Avrupa Birliği’ nin söz konusu düzenlemeyi Regulasyon yani tüzük ( Türkçe’ ye çevirisi bakımından anlaşılır olması açısından) olarak düzenlemesi bağlayıcılığı açısından da önem kazanmaktadır. Regülasyonlar genel olarak yürürlüğe girmekle birlikte tüm üye ülkelerde yürürlük gücüne sahip olurlar. Ayrıca iç hukuka aktarılmak üzere bir onay kanununa ya da iç hukukta aynı düzenlemeleri konu alan yeni bir kanuna ihtiyaç göstermezler. Oysa yönergeler için durum farklıdır. Yönergeler üye devletleri hedef alır ve onlara belirli bir süre içinde yönergede belirtilen hususlarda ve o çerçevede iç hukukta düzenleme yapma ödevini yüklerler. İç hukukta yapılacak düzenlemenin yöntemi ise üye devletin takdirine bağlıdır. Bu açıdan AB Genel Veri Koruma Tüzüğü üye ülkelerin düzenlemeleri ve onaylarına ihtiyaç kalmaksızın uymakla zorunlu oldukları bir düzenlemedir.

AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation) (bundan sonra GDPR olarak anılacaktır.)’ nün kişisel verilerin korunmasına ilişkin getirdiği yeni tanımlar, yaklaşımlar ve zorunluluklar açısından Tüzüğün 3. Maddesine göre

“2. Bu Tüzük, işleme faaliyetlerinin aşağıdaki hususlarla alakalı olması durumunda, Birlik içerisinde bulunan veri sahiplerinin kişisel verilerinin Birlik içerisinde kurulu olmayan bir kontrolör veya işleyici tarafından işlenmesine uygulanır:

  • Veri sahibine bir ödeme yapılmasına gerek olup olmadığına bakılmaksızın, Birlik içerisindeki söz konusu veri sahiplerine mal ya da hizmetlerin sunulması veya
  • Davranışları birlik içerisinde gerçekleştiği ölçüde, davranışlarının izlenmesi.
  1. Bu Tüzük, Birlik içerisinde değil, ancak bir üye devletin hukukunun uluslararası kamu hukuku vasıtasıyla uygulandığı bir yerde kurulu bulunan bir kontrolör tarafından kişisel verilerin işlenmesine uygulanır.”

düzenlemesi gereğince  GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından ve AB ülkelerindeki kişilere yönelik mal ve hizmet sağlayanlar bakımından da bağlayıcı olduğu görülmektedir. Bu açıdan Türkiye’ nin Kişisel Verilerin Korunması’ na yönelik yasal düzenlemelerini GDPR’ ye uygun hale getirmesi gerekmektedir.

Türkiye’de ise kişisel verilerin korunmasına ilişkin 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı “Kişisel Verilerin Korunması Kanunu” ile yasal düzenleme yürürlüğe girmiştir. kanunun tasarı aşamasında iken istisnalar ve Kişisel Verilerin Korunması Kurumunun yapısı hakkındaki eleştirilerin yanında Genel Veri Koruma Tüzüğünde yer alan ve düzenlemesi elzem olan konular hakkındaki eleştiriler de göz ardı edilmiştir. 6698 sayılı Kanun, AB Veri Koruma Reformu kapsamında hazırlanan GDPR metninin Avrupa Parlamentosu’nda kabulünden 7 gün gibi çok kısa bir süre önce onaylanmış ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. 6698 sayılı Kanun’un, güncel AB düzenlemesi olan GDPR daki düzenlemeleri değil, 95/46/AT sayılı Veri Koruma Direktifi’ni referans alması hatta Veri Koruma Direktifi’ nin çevirisi diyebileceğimiz durumda olması sebebiyle GDPR de yer alan bir çok konuda eksik ve kadük kalmıştır.

AB GENEL VERİ KORUMA TÜZÜĞÜ-GDPR’NİN GETİRMİŞ OLDUĞU YENİLİKLER VE DÜZENLEMELER

AB Genel Veri Koruma Tüzüğü (General Data Protection Regulation–GDPR) Avrupa’ daki pek çok sivil toplum kuruluşunun yaratmış olduğu kamu oyu baskıları ile kişisel verilerin korunmasına ilişkin ve dijital hayata ilişkin pek çok yeni düzenlemeler içermektedir. Bunlar:

  • Kişisel Veri Tanımı

95/46 sayılı Direktif’teki kişisel veri tanımına göre, GDPR daha açıklayıcı ve kapsamlı bir tanım getirilmeye çalışılmıştır. GDPR da kişisel veri: “tanımlanmış bir gerçek kişi özellikle bir isim, kimlik numarası, konum verileri, çevrim içi tanımlayıcı ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya toplumsal kimliğine özgü bir ya da daha fazla sayıdaki” veri olarak kabul edilmiştir. Görüldüğü gibi konum verileri, çevirim içi tanımlayıcı gibi veri sahibinin ortaya çıkarılmasını sağlayacak her türlü veri kişisel veri olarak kabul edilmiştir.

  • Profil Çıkarma

GDPR da 95/46 sayılı Direktif’te bulunmayan yeni bir tanımlama olarak profil çıkarma dikkati çekmektedir.

GDPR’ da “profil çıkarma, bir gerçek kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu gerçek kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi için kişisel verilerin kullanımını ihtiva eden her türlü otomatik kişisel veri işleme biçimi” olarak tanımlanmıştır. Veri sahiplerinin, kişisel verilerin otomatik karar verme mekanizmalarına bağlı olarak işlenmesi halinde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçlarına ilişkin bilgileri talep etme, kendisi ile ilgili hukuki sonuçlar doğuran veya benzer biçimde kendisini kayda değer şekilde etkileyen profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama, profil çıkarmaya ilişkin kişisel verilerin işlenmesine herhangi bir zamanda ve kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine itiraz etme ve itirazının kabul edilmemesi halinde yetkili kurula (Kişisel Verilerin Korunması Kuruluna) şikayette bulunma hakkı bulunmaktadır.

  • Takma Ad Kullanımı

GDPR da, 95/46 sayılı Direktif’te bulunmayan başka bir yeni tanımlama da takma adlı veridir. GDPR’ da takma ad kullanımı “ kişisel verilerin tanımlanmış veya tanımlanabilir bir gerçek kişiyle ilişkilendirilmemesinin sağlanması amacı ile ek bilgilerin ayrı tutulması ve teknik ve düzenlemeye ilişkin tedbirlere tabi tutulması koşuluyla, kişisel verilerin söz konusu ek bilgiler kullanılmaksızın spesifik bir veri sahibiyle artık ilişkilendirilemeyecek şekilde işlenmesi” olarak tanımlanmıştır. Veri kontrolörü hem işleme yönteminin belirlenmesi esnasında hem de işleme faaliyeti esnasında, verilerin en alt düzeye indirilmesi gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan, takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygulamak ve veri sahiplerinin haklarını korumak zorundadır.

Kontrolör ve işleyicinin, gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, risk açısından uygun bir güvenlik seviyesi sağlamak üzere, kişisel verilerde takma ad kullanımı ve şifreleme kullanımı da dahil olmak üzere uygun güvencelerin sağlaması gerekmektedir.

Takma adlı veri, kişisel veriyi anonim hale getirmeyip bir kimliksizleştirme yöntemidir. Eğer veri sorumlusu tarafından işlenen veri, sorumlunun bir kişiyi doğrudan belirlemesine izin vermiyorsa ya da takma adlı veri oluşturuyorsa, veri sorumlusu yalnızca bu tüzüğe uyumluluk sağlamak için ilgili kişiyi belirlemek amacıyla söz konusu ek bilgileri alamaz ya da işleyemez. Tek başına kullanıldığında ve herhangi bir ek bilgi olmadan, bir bireyi tanımlayamayan ancak en fazla bireyleri tanımlamadan birbirinden ayırabilen veriler gibi veri tipleri de koruma gerektirmektedir.

Takma adlı veri olarak adlandırılan bu tür kişisel veriler risk bazlı yaklaşım ve sorumluluk açısından verilerin korunmasına yönelik iyi bir örnektir. Çünkü veri kontrolörü ve veri işleyen verinin takma adlı veri olarak kalmasını sağlamak ve verilerin tamamen ilişkilendirilebilir hale gelmesini engellemek amacıyla gereken tüm makul önlemleri almak zorunda kalacaktır.

  • Unutulma hakkı

GDPR’nin 17. Maddesi kapsamında veri sahibinin kişisel verilerinin silinmesini isteme hakkı başlığı altında unutulma hakkı düzenlenmiştir.  Bu madde 95/46 sayılı Direktif’in 12. maddesinin (b) bendinde veri sahibine tanınan kişisel verilerin silinmesi hakkının kapsamının genişletildiği görülmektedir. Bu maddeye göre,

“Veri sahibinin kendisi ile ilgili kişisel verilerin herhangi bir gecikmeye mahal verilmeksizin silinmesini kontrolörden talep etme hakkı bulunur ve, aşağıdaki hallerden birinin geçerli olması durumunda, kontrolörün kişisel verileri herhangi bir gecikmeye mahal vermeksizin silme yükümlülüğü bulunur:

  • kişisel verilerin toplanma veya işlenme amaçlarıyla ilişkili olarak artık gerekli olmaması;
  • veri sahibinin, veri işleme faaliyetinin dayandığı izni geri çekmesi ve işleme faaliyetiyle ilgili başka bir yasal gerekçe bulunmaması;
  • veri sahibinin, veri işleme faaliyetine itirazda bulunması ve işleme faaliyetine yönelik ağır basan meşru bir gerekçe bulunmaması ya da veri sahibinin doğrudan pazarlama ile alakalı olduğu ölçüde profil çıkarma da dahil olmak üzere kendisi ile ilgili kişisel verilerin söz konusu doğrudan pazarlama amacı ile işlenmesine itirazda bulunması;
  • kişisel verilerin yasa dışı biçimde işlenmiş olması;
  • kişisel verilerin doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak toplanmış olması.

Kontrolörün kişisel verileri kamuya açıklamış olduğu ve kişisel verileri silmek zorunda olduğu hallerde, kontrolör, mevcut teknoloji ve uygulama maliyetini göz önünde bulundurarak, veri sahibinin talep etmiş olduğu kişisel verileri işleyen kontrolörleri söz konusu kişisel verilere yönelik her türlü bağlantı veya bu verilerin her türlü nüshası ya da çoğaltmasının söz konusu kontrolörlerce silinmesi hususunda bilgilendirmek üzere teknik tedbirler de dahil olmak üzere makul adımları atmak zorundadır.”

Bu maddeden de anlaşılacağı üzere  veri sahipleri, verilerinin artık toplanma amacı ile ilgili olarak tutulmasının gerekli olmadığı, veri sahibin rızasının bulunmadığı yahut veri sahibinin verisinin işlenmesini istemediği veya kişisel verinin GDPR’ye aykırı işlendiği durumlarda verilerinin silinmesini veya bundan sonra işlenmemesini talep edebilme hakkına sahiptir. Veri kontrolörünün, kişisel veriyi başka veri kontrolörleriyle paylaşmış veya kullanımlarına açmış olması durumunda, söz konusu verilere ilişkin kısayol, kopya veya çoğaltılmış versiyonları silmeleri bakımından da sorumlu olduğu görülmektedir.

Bu düzenleme ile fiili ve hukuki anlamda, özellikle algoritmalar ve diğer otomatik veri işleme yöntemleriyle,  verileri üzerinde denetim ve kontrolünü yitiren veri sahiplerine önemli bir hak tanınmıştır.

GDPR kapsamında kabul edilen unutulma hakkı 6698 sayılı Kanunda yer almamaktadır. Bununla birlikte unutulma hakkına ilişkin olarak; “cinsel taciz mağdurunun isminin kodlanmaksızın bir kitapta yayımlanmasından dolayı kişilik haklarının ihlal edildiği ve bu sebeple tazminata hükmedilen” Yargıtay 4. Hukuk Dairesi’nin 03.07.2013 tarih ve 2013/6256 esaslı kararında ve hakkında yapılan haberlerin internet ortamından silinmesi amacıyla başvuran kişinin haklı bulunduğu AYM’nin 03/03/2016 tarih ve B.2013/5653 no’lu kararı ile Türkiye’ de yargı kararıyla uygulama alanı bulmuştur. Yargı kararıyla da kabul edilmiş bulunan unutulma hakkı konusunda hukuki düzenlemelerde yer almaması 6698 sayılı kanunun yapım sürecinde de eleştirilere sebep olmuş idi. Bu sebeple AB üyesi devletler açısından büyük önem verilen unutulma hakkı konusunda Türkiye’ nin de acil bir yasal dayanağının bulunması gerekmektedir.

  • Veri Taşınabilirliği Hakkı

GDPR da, 95/46 sayılı Direktif’te bulunmayan başka bir yeni düzenleme de veri taşınabilirliğidir. GDPR 20. Maddesine göre, veri işleme faaliyetinin veri sahibinin usulüne uygun alınmış rızasına dayanması veyahut veri işlem faaliyetinin bir sözleşmeye dayanması, yada veri işlemenin otomatik yollarla gerçekleşmesi halinde; veri sahibinin kendisi ile ilgili olarak bir kontrolöre sağlamış olduğu kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilecek bir formatta alma hakkı bulunur ve kişisel verilerin sağlandığı kontrolörün herhangi bir engellemesi olmaksızın bu verileri başka bir kontrolöre iletme hakkı bulunur”

Veri taşınabilirliği hakkı kullanırken, veri sahibinin, teknik açıdan uygulanabilir olması halinde, kişisel verilerin doğrudan bir kontrolörden diğerine ilettirme hakkı bulunur. Veri taşınabilirliği hakkın kullanımı, verilerin silinmesi talep etme (unutulma) hakkını ortadan kaldırmaz. Söz konusu hak kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya kontrolöre verilen resmi bir yetkinin uygulanması için gereken işleme faaliyetlerine uygulanmaz.

  • Veri Kontrolörü Ve Veri İşleyicisi Ayırımı, Veri İşleyenlerin Tamamının Veri İşlemeden Sorumlu Olması

95/46 sayılı Direktif’te “kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkili her tür veri”nin işlenmesine ilişkin kurallara uymakla yükümlü olan ve hukuka aykırı olarak yapılan iş ve işlemlerden sorumlu olan tek kişi “veri kontrolörü” (veri sorumlusu), başka bir ifadeyle veri sahipliğini elinde bulunduran kişi, olarak düzenlenmekteydi. GDPR ile kontrolör, işleyici ve alıcı olarak üçlü bir veri sahipliği ve sorumluluğu düzenlemesi getirilmiştir.

Kontrolör, yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ

İşleyici, ise kontrolör adına kişisel verileri işleyen bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ

Alıcı, üçüncü bir kişi olsun veya olmasın, kişisel verilerin açıklandığı bir gerçek ya da tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organdır.

GDPR da getirilen düzenleme ile veri sahipliğine ilişkin veri kontrolörü olmamakla birlikte bu verileri işleyen herhangi bir şirket ya da birey de (bulut hizmet sağlayıcıları gibi alt hizmet sağlayan üçüncü taraflar da dâhil olmak üzere) verinin hukuka uygun işlenmesinden sorumlu tutulacaklardır. Bu hüküm otomatik yöntemlerle olsun veya olmasın, kişisel veri veya kişisel veri setleri üzerinde gerçekleştirilen toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, elde etme, danışma, kullanma, iletim yoluyla açıklama, yayma veya kullanıma sunma, uyumlaştırma ya da birleştirme, kısıtlama, silme veya imha gibi herhangi bir işlem veya işlem dizisini uygulayanların, yani her türlü işleme faaliyetinin tüm faillerinin (kontrolör, işleyici, alıcı) söz konusu işlemeden kaynaklı her türlü veri ihlali ve hukuka aykırılıktan sorumlu olduğunu ortaya koymaktadır. Bu hükmün uygulanmasının yansımaları oldukça geniş olacaktır. Hem veri sorumluları hem de veri sorumlusunun talebiyle veriyi işleyen üçüncü kişiler bakımından hukuki sorumluluk ortaya çıkmaktadır. Bu kapsamda GDPR hükümlerinin, sunucuları AB dışında yerleşik bulunan ve işleme faaliyetlerini Birlik ülkeleri dışından sürdüren bulut hizmet sağlayıcıları bakımından ve AB üyesi ülkelere mal ve hizmet sağlayan kuruluşlar bakımından da bağlayıcı olacaktır. Bu durumda hatalı ve hukuka aykırı işleme faaliyeti yapan bu kuruluş veya kişiler açısından GDPR ile getirilen yüksek oranlı para cezaları bu işleyiciler için de bağlayıcıdır.

  • Veri Sahibinin Rızası

Veri işlemeyi hukuka uygun hale getiren veri sahibinin rızasına ilişkin 95/46 sayılı Direktif’te veri sahibinin açık rızasına vurgu yapılmaktaydı. GDPR de ise veri sahibinin lehine olacak biçimde güçlendirilmiş bir rıza kavramı dikkat çekmektedir. GDPR da tanımlar bölümünde veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık gösterge olarak tanımlanmıştır.

Aynı zamanda tüzüğün 7. Maddesine göre veri sahibinin rızasının diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulur. Söz konusu beyanın bu Tüzük açısından ihlal teşkil eden hiçbir kısmı bağlayıcı değildir.  Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilmesi gerekmektedir.

Görüldüğü üzere kişisel verilerin işlenmesine ilişkin rızanın özgürce, belirli, aydınlatılmış/bir amaca ilişkin, bilinçli ve açıkça verilmiş olması gerekmektedir. Söz konusu rızanın veri işleyenin aynı amaç veya amaçlar için yürütülen tüm işleme faaliyetleri bakımından alınması gerekmektedir. Aynı şekilde rızanın elektronik araçlarla istendiği durumlarda da bu istek, sade, açık ve uğruna kullanıldığı hizmetten yararlanmayı engellemeyen bir mahiyette olmalıdır.

Diğer yandan kullanıcıların çevrimiçi sosyal ağların veya web tarayıcılarının gizlilik ayarlarına ilişkin sessiz kalmaları yahut o zamana kadar herhangi bir itirazda bulunmamış olmaları durumunda varsayılan ayarlar geçerli bir rızanın alındığı  anlamına gelmeyecektir.

Aynı şekilde GDPR ile birlikte yapılan yeni düzenlemeye göre veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır. Tüzüğe göre veri sahibi özgürce vermiş olduğu rızasını her zaman geri alma hakkına sahiptir. GDPR ile getirilen bu geniş hak ve yetki veri sahiplerine verilerinin kaderini belirleyebilme konusunda oldukça geniş bir alan sağlarken, veri işleyenlere ise oldukça detaylı sorumluluklar yüklemektedir.

–       Çocuğun bilgi toplumu hizmetlerine ilişkin rızası açısından geçerli koşullar

GDPR’ ın 8 maddesi ile yeni getirilen düzenlemeye göre veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi durumunda, doğrudan bir çocuğa bilgi toplumu hizmetleri sağlanması ile ilgili olarak, çocuğun en az 16 yaşında olması halinde, ilgili çocuğun kişisel verilerin işlenmesi hukuka uygundur. Çocuğun 16 yaşından küçük olması halinde, söz konusu işleme faaliyeti, ancak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verilmesi veya onaylanması halinde ve verildiği veya onaylandığı ölçüde hukuka uygundur. Bu durumda veri kontrolörü mevcut teknolojiyi dikkate alarak rızanın çocuk üzerinde velayet hakkı bulunan kişi tarafından verildiğini veya onaylandığını doğrulamak adına makul çaba sarf etmek zorundadır.

Bu hükümden de anlaşılacağı üzere günümüz çocuklarının bilgi teknolojileri ve sosyal medya kullanımlarına yönelik ileride ortaya çıkması muhtemel bir ihlali gözetilmiştir. Çocukların kişisel verilerinin işlenmesinde 16 yaş sınırı gözetilmiş ve 16 yaşın altındaki çocuklar açısından velayet hakkı bulunan ebeveynden çocukların kişisel verilerinin işlenmesi açısından, ebeveynler ayrıca çocuklar için bir rıza zorunluluğu getirilmiştir.

  • Veri Sahibinin Hakları

GDPR 13. Maddesine göre “Bir veri sahibine ilişkin kişisel verilerin veri sahibinden toplanması durumunda, kontrolör kişisel verilerin elde edildiği anda aşağıdaki bilgilerin tamamını veri sahibine sağlar:

  • kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri;
  • uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;
  • kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı;
  • işleme faaliyetinin, veri sahibinin çocuk olması durumunda , kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler;
  • varsa, kişisel verilerin alıcıları veya alıcı kategorileri;
  • uygun olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı.
  1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör kişisel verilerin elde edildiği anda adil ve şeffaf bir işleme sağlanması için gereken aşağıdaki ek bilgileri veri sahibine sağlar:
  • kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;
  • kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ya da işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;
  • işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;
  • bir denetim makamına şikayette bulunma hakkı;
  • kişisel verilerin sağlanmasının yasal ya da sözleşmeye bağlı bir gereklilik mi yoksa bir sözleşme yapılması için gereken bir gereklilik mi olduğu ve ayrıca, veri sahibinin kişisel verileri sağlamak zorunda olup olmadığı ve söz konusu verilerin sağlanmamasının muhtemel sonuçları;
  • profil çıkarma da dahil olmak üzere, otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
  1. Kontrolörün kişisel verileri bu verilerin toplanma amacı dışında bir amaçla işleme faaliyetine niyet ettiği hallerde, kontrolör söz konusu işleme faaliyetinden önce diğer amaca ilişkin bilgileri ve 2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.
  2. Veri sahibinin halihazırda bu bilgilere sahip olduğu hallerde ve ölçüde, 1, 2 ve 3. paragraflar uygulanmaz.
  • Veri Sahibinin Haklarının Kullanımına İlişkin Şeffaf Bilgilendirme Ve Bildirimde Bulunma Yükümlülüğünü Veri Kontrolörünün Yapma Zorunluluğu

GDPR’ ın 12. Maddesinde kullanıcı haklarına ilişkin bilgilendirme yükümlülüğü veri kontrolörünün üzerine bırakılmıştır. Buna göre “Kontrolör spesifik olarak bir çocuğa yönelik her türlü bilgi başta olmak üzere işleme faaliyeti ile alakalı olarak, veri sahibinden kişisel verilerin toplandığı hallerde ve veri sahibinden alınmadığı hallerde sağlanacak bilgiler atıfta bulunulan her türlü bilgi ile veri sahibinin verilerine erişim hakkı, düzeltme, kısıtlama ve silme hakkı, itiraz hakkı, profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı bir karara tabi olmama hakkı kapsamındaki her türlü bildirimi öz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanarak veri sahibine sağlamak için gerekli tedbirleri alır. Bilgileri yazılı olarak veya, uygun olduğu hallerde, elektronik yollar da dahil olmak üzere diğer yollarla sağlar. Kontrolör veri sahibinin haklarının kullanılmasına kolaylık sağlar.”

Aynı şekilde GDPR 24. Maddesine göre “Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve, gerektiğinde, güncellenir.”

Bu hükümler birlikte değerlendirildiğinde GDPR kapsamında veri kontrolörleri, kullanıcılarını bilgilendirmek ve sahip oldukları yasal haklar konusunda gerekli hatırlatmaları yapmakla yükümlü olup, aynı zamanda söz konusu yükümlülüklerini gerçekleştirdiklerini belgelemekle de yükümlü tutulmaktadır.

Tüzüğün 25. maddesine göre “Kontrolör, son teknoloji, uygulama maliyeti ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra işleme faaliyetinin gerçek kişilerin hakları ve özgürlükleri açısından teşkil ettiği çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, hem işleme yönteminin belirlenmesi esnasında hem de işleme faaliyeti esnasında, verilerin en alt düzeye indirilmesi gibi veri koruma ilkelerinin etkili bir şekilde uygulanması ve bu Tüzük’ün gerekliliklerinin yerine getirilmesine yönelik olarak gerekli güvencelerin entegre edilmesi amacı ile tasarlanan takma ad kullanımı gibi uygun teknik ve düzenlemeye ilişkin tedbirler uygular ve veri sahiplerinin haklarını korur.”

Yine bu hükümler birlikte değerlendiğinde kullanıcılara ilişkin kişisel verilerin, kontrolörün sistemlerinde verisi saklanacak olan kişinin her ne şart altında olursa olsun mutlak suretle izninin alınmış olması gerekmektedir. Bu sistemde herkesin ücretsiz, kolay ve çabuk biçimde dilediği zaman sistemden ayrılma hakkı bulunmaktadır. Bu kuralın ihlal edilmesi durumunda veri kontrolörleri ağır tazminatlar ödemek zorunda kalacaklardır.

Aynı zamanda 25. Maddeye göre veri kontrolörü iç işleyişi ile alakalı politikalarını belirleyerek, veri işlemesine başlangıçtan itibaren veri koruması ve tasarımdan itibaren veri koruması ilkelerini karşılamaya yönelik gerekli tedbirleri almalıdır. Bu ilkeye göre veri kontrolörü, gerek veri işleme vasıtalarının ve yönteminin belirlenmesi sırasında, gerekse veri işleme anında öngörülen veri koruma kurallarının etkili bir biçimde uygulanması için gerekli araçları kullanarak, bulanıklaştırma, takma ad kullanımı, asgari veri işleme v.b. uygun teknik ve yapısal önlemleri almalıdır. Veri kontrolörü kişisel verilerinin veri sahibinin herhangi bir girişimi olmaksızın belirsiz sayıda kişinin erişimine açılmamasını sağlaması gerekmektedir. Kontrolörün bu yükümlülüğü verinin toplandığı süre ve işlenmesi sırasında,  kişisel verinin saklandığı ve veriye erişilebildiği müddetçe geçerlidir.

  • Zorunlu Veri Koruma Görevlisi

GDPR 37. Maddesine göre “ Kontrolör ve işleyici aşağıdaki durumlarda her halükarda bir veri koruma görevlisi belirler:

  • işleme faaliyetinin kendi yargı yetkisi çerçevesinde hareket eden mahkemeler haricindeki bir kamu kuruluşu veya organı tarafından gerçekleştirilmesi;
  • kontrolör veya işleyicinin temel faaliyetlerinin yapıları, kapsamları ve/veya amaçları gereği veri sahiplerinin düzenli ve sistematik bir şekilde büyük çaplı olarak izlenmesini gerektiren işleme faaliyetlerinden meydana gelmesi veya
  • kontrolör veya işleyicinin temel faaliyetlerinin 9 maddesi uyarınca özel kategorilerdeki verilerin ve 10. maddede atıfta bulunulan mahkumiyet kararları ve ceza gerektiren suçlara ilişkin kişisel verilerin büyük çaplı olarak işlenmesinden meydana ”

Bu maddeden de anlaşılacağı üzere 9. Maddede sayılan “Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesinin yasaktır.  Ancak istisnalara binaen işlenmesi halinde her halükarda veri işleyenin alanın yeterli uzmanlık bilgisi olan bir veri koruma görevlisi bulundurması zorunludur ve işleme faaliyetinden bu veri koruma görevlisi sorumludur. GDPR hükmüne göre veri koruma görevlisinin iş akdiyle istihdam edilmesi de mümkün olduğu gibi veri koruma görevlisinin birden fazla şirket veya kamu kurumu adına çalışması mümkündür.

Riskli Veri İşleme Faaliyetleri Bakımından Zorunlu Veri Koruma Etki Değerlendirmesi

GDPR’nin 35. maddesiyle özellikle yeni teknolojiler kullanıldığında ve işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçları dikkate alındığında bir işleme türünün gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir riske sebebiyet vermesinin muhtemel olduğu hallerde, kontrolör, işleme faaliyetinden önce, öngörülen işleme faaliyetlerinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapma zorunluluğu getirilmiştir. Bu yeni düzenlemede, özellikle yeni teknolojik veri işleme metodlarının kullanıldığı veri işleme faaliyetlerinin gerçek kişilerin hak ve özgürlükleri bakımından yüksek bir risk içermesinin muhtemel olduğu durumlarda, söz konusu işlemenin kapsamı, niteliği, bağlam ve amacı da dikkate alınarak Tüzük hükümlerine uyumun arttırılması amacıyla veri kontrolörü, öncelikle bir veri koruma etki değerlendirmesi (VKED) yapılmasından sorumlu tutulmaktadır. Maddenin ikinci fıkrasında özellikle profil çıkarma dahil olmak üzere otomatik veri işleme sistemlerinin kullanılması, hassas verilerin işlenmesi veya ceza mahkûmiyeti ve suçlara ilişkin verilerin işlenmesi, kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi halinde VKED yapılması zorunludur.

Buradan da anlaşılacağı üzere kişisel veri işleme faaliyetlerinin GDPR hükümlerine uygun olarak gerçekleştirilmesine yönelik alınacak önlemlerin belirlenmesinde söz konusu VKED sonuçlarının dikkate alınacağı ifade edilmektedir. VKED’ nin özellikle büyük ölçekli işleme faaliyetlerinde gerekli olduğu vurgulanmaktadır.

Ayrıca bir VKED sonucunda, işleme faaliyetlerinin kontrolörün mevcut teknoloji ve uygulama maliyetleri açısından uygun tedbirlerle hafifletemeyeceği yüksek bir riski içerdiğinin ortaya çıkması durumunda, veri işleme faaliyetinden önce veri koruma otoritesine, Türkiye açısından denetim makamı olan Kişisel Verilerin Korunması Kurumuna danışılması gerekmektedir. Denetim makamı olan KVKK bir veri koruma etki değerlendirmesi gerekliliğine tabi olan veya olmayan işleme faaliyeti türlerine ilişkin bir liste oluşturur ve bu listeyi kamuya açıklayacaktır.

95/46 sayılı Direktif’te yer alan veri işleme faaliyetlerinin veri koruma otoritelerine bildirilmesine ilişkin genel hüküm, kişisel verilerin korunması konusunda köklü bir çözümü getirmediğinden yeni düzenleme ile ayrım gözetmeksizin tanımlanan bu genel bildirim yükümlülüğü yerine VKED’nin yapılmasının çok daha amaca uygun olacağı düşünülmektedir.  VKED’de veri kontrolörü, yüksek risk olasılığını ve şiddetini değerlendirmeden önce işlemenin amaç ve kapsamıyla riskin kaynaklarını göz önünde bulundurabilecektir.


Veri Koruma Kültürü de Ne?! 13+yim, Yetmez mi?

Haziran 7, 2018

Yazan: Asli Telli Aydemir, telli.asli@gmail.com

Genel Veri Koruma Düzenlemesi (Bundan sonra GDPR olarak anilacaktir: General Data Protection Regulation) Avrupa Birliği üyesi ülkelerde 25 Mayis 2018 itibariyle yürürlüğe girdi; düzenlemelere uymayan şirketler ve hizmet aldıklari kurumlar ciddi cezalara tabi olmayan başladilar bile! Düzenlemenin dört yıldır üzerinde uğrasildigi ve son 20 yilin kisisel veri mahremiyeti baglaminda en büyük sivil zaferi olarak nitelendirilmesi tesadüf degil. Cambridge Analytica ve Facebook baglantili skandallarin yillardir es gecilen bilincin isik hiziyla yerlesmesine neden olacagi asikar. Tabii bununla da kalmiyor; kurumlar bugüne kadar hayasizca fetis nesnesi olarak topladiklari verilerin islenmesi icin harcadiklari kapital ve enerjiyi yeni süreci anlamaya harcamak zorunda… Hatta gectigimiz birkac yildir cokca tartisilan “Unutulma Hakki“ gibi konular, artik rutin bicimde takip edilen ve sonuclandirilan talepler olarak degerlendirilecek. Son birkac yilda bu anlamda kazanilan davalar ve dikkat ceken bireylerin farklilik gösteren talepleri, post-kapitalist gözetim toplumunu yöneten carklarin asinmasina neden oldu. Ancak özellikle post-truth ve cok-uzun-okumadim (tl;dr*too-long-didn`t-read) caginda, kisisel veriyle ilgili ince dokunmus bir düzenlemenin ayrintilarini cözmek herkesi sarhos ediyor adeta;)

Arastirmaci anne gözüyle Facebook, Instagram gibi kitle platformlarina bakinca milenyum kusaginin dogumu itibariyle hiper-sosyallestirilmis imgelerden ibaret yasamlari carpiyor gözüme. GDPR düzenlemesi çocukların verileriyle ilgili bazı özel şartlar getiriyor. Cocugum yanibasimda Türkiye fiziksel cografyasinda yasiyorum demeyin; aslinda uyku disindaki zamaninizi cografi sinir tanimayan dijital aglarda geciriyorsunuz ve eminim 25 Mayis arifesinden beri yüzlerce mahremiyet uyarisi aldiniz, kah e-posta hesabinizda, kah taradiginiz web sayfalarinda, kah cevrimici haber sitelerinde… Gelin, birlikte bakalim:

“Çocuklar kişisel verilere ilişkin belirli bir korumayı hak ederler, çünkü söz konusu risklerin, sonuçların ve güvencelerin; kişisel verilerin işlenmesine ilişkin haklarının daha az farkında olabilirler. Bu tür bir özel koruma, özellikle, çocuklara yönelik sunulan hizmetler kullanılırken, çocukların kişisel bilgilerini kişisel olarak pazarlama veya kişilik ya da kullanıcı profilleri oluşturma ve çocuklarla ilgili kişisel verilerin toplanması amacıyla kullanmalıdır. Ebeveyn sorumluluğu tasiyan kisinin rızası, doğrudan sunulan önleyici jest veya danışmanlık hizmetleri bağlamında gerekli olmamalıdır. ”

Bu açıklamanın çok büyük bir payı olsa da, sadece GDPR`in yol gösterici bir uygulamasıdır, ancak yasal baglayicilik icermez. Yakın tarihli bir London School of Economics Medya Politikası Projesi yuvarlak masa toplantısında, işleyişin yasal temeli, bilgi toplumu tanımıyla ilgili karışıklık olmasa bile yorumlanmaya tabi oldugunu gösterdi. Madde 8’de “doğrudan çocuklara sunulan” ifadesinin anlamı (çocuklar için “dijital rıza onayı” olarak adlandırılan), çocukların profili ile ilgili kurallar, ebeveynlerin rızasının nasıl doğrulanacağı (rıza yaşından küçük çocuklar için) ve risk bazlı etki değerlendirmelerinin ne zaman ve nasıl yapılacağı muglak kaldi. Ayrıca, uygulamanin, çocukların haklarını talep etme veya mahremiyet ihlal edildiğinde tazminat talep etme konusunda nasıl etkinleştirileceği de açık değildir.

Önümüzdeki aylarda düzenlemenin isleyisiyle ilgili tablo ortaya cikacak. Çocukların kendi kişisel verilerinin nasıl kullanıldığına dair veri okuryazarlıklarının 11-16 yaş arası yıllar boyunca nasıl geliştiğini görecegiz. Ama bir yandan da isimiz var, yapilabilecekler cok: (1) çocuklarla odak grup araştırması yaparak nasıl keşfettiklerini araştırmak için yeni projeler gelistirmek; (2) politika ve eğitim / farkındalık yaratma önerilerini formüle etmek için çocuklarin katilimiyla müzakere panelleri düzenlemek; ve (3) çocukların dijital gizlilik becerilerini ve farkındalığını desteklemek ve tanıtmak için çevrimiçi bir araç seti oluşturmak…Musterek veri kültürü olusturmak icin tabandan ve yatay örgütlenmeyi bir kez daha hatirlatiyor bize genc kusak.

GDPR’nin çocukların gizliliğini ve verilerini korumak için nasıl islev gösterecegini yakından izlemek gerekiyor. Hazirda bazı sürprizler var. İngiltere’de 12-15 yaş grubundakilerin% 24’ü tarafından kullanılan WhatsApp, Avrupa’daki birçok ülkede dijital rıza yaşının 13’e ayarlanmış olmasına bakılmaksızın, hizmetlerini 16 yaşından büyüklere kısıtlayacağını açıkladı. Avrupa`da dijital rıza yaşı uzunca bir süre once 13 olarak belirlendi. Instagram ise hesap acarken veya link baglantili/Facebook entegre olarak kullanilirken 18 yas sinirinda set cekmis durumda. Belki de bu, Birleşmiş Milletler Çocuk Hakları Sözleşmesi’nin (UNCRC) belirledigi sinir olarak uygulanmakta?

Bu gibi değişiklikler, etkili yaş doğrulamasının şimdi yürürlüğe konulacağı anlamına mı geliyor yoksa GDPR, çocukların katılım haklarının bir parçası olarak, yararlı hizmetlere erişmek için yaşlarını yalanlamaları için istenmeyen bir teşvik haline mi gelecek? Bu onları daha iyi nasıl koruyacak? Peki bu karmaşıklaştırıcı manzara dijital okuryazarlıklar adina ne anlama geliyor, okulların çocuklara internet ile nasıl eleştirel etkileşime gireceklerini öğretmesi mümkün olacak mi? Türkiye örneginde oldugu gibi ögretmenlerin bu konudaki eksikliklerinin ivediyetle tamamlanmasi, daha da önemlisi egitim ve bilisim politikalarinin bu yönde düzenlenmesi gerekiyor. Belli ki okul basarisinin, PISA skorlari ve günü kurtaran sinavlardan alinan yüksek puanlara bagli olarak sekillenmedigi günler coktan geldi; ayni anda izlenen ekranlar cesitlendi (binge-watching), veri okyanuslari dalgalandi- Yasamlarimiz film seridi hizinda akarken, ne kadarinin seyirlik olduguna biz internaut`lar (interneti sekillendiren bireyler) karar vermeye basladik; NIHAYET!

Isinizi Kolaylastiracak Kaynaklar

*EDRi (European Digital Rights Initiative) ilgili blog post (Ingilizce): https://edri.org/a-guide-individuals-rights-under-gdpr/

*Dijital kürasyon yapan aktivistler, veri arastirmacilari ve uzmanlari icin EDRi direktörünün katildigi kompakt bir GDPR haberi (Ingilizce):  https://www.youtube.com/watch?v=pKvcZz8TKuE

*Ilgili sosyal medya kampanyasi icin: https://twitter.com/edri/status/1004367305034235905

*Kamu yararina acilmis konuyla ilgili websiteleri: https://gdprexplained.eu ve  https://timetodisagree.eu

* Cocuk haklari ve mahremiyetiyle ilgili Ingiltere`de yürütülen calismalarla ilgili bir blog post:  http://blogs.lse.ac.uk/mediapolicyproject/2018/05/25/what-will-the-general-data-protection-regulation-gdpr-mean-for-childrens-privacy-and-rights/


“Parodi” hesaplar meselesi — Işık Barış Fidaner

Mayıs 30, 2018

YERSİZ ŞEYLER

Twitter’da “parodi hesap” diye bir pratik türedi: Bilinmeyen bir kişi bir siyasetçinin ismini ve resmini kopyalayarak onu taklit eden bir Twitter hesabı oluşturuyor. Sonra da adeta o siyasetçi söylemiş gibi mesajlar göndererek insanları (yüzlerce, binlerce, yüzbinlerce insanı) kandırmaya başlıyor. Gerçek ve taklit hesapları ayırt etmenin en kolay yolu, isminin yanında mavi “verified” (doğrulanmış) işareti olup olmadığına bakmak. Bu konuda bilgilendirici bir cıvıltı hazırlamıştım.

Bilindiği gibi sosyal medya (özellikle Twitter ve Facebook) günümüzde güncel siyasette küçümsenemeyecek bir rol üstlenmektedir. Özellikle geçtiğimiz on yıl içinde sosyal medya, bir yandan vatandaşların duygu ve düşüncelerini açıkça ifade edebildikleri bir yere dönüşürken, öbür yandan bu ifadelerin sık sık çatışması/zıtlaşması yoluyla siyasî polarizasyon/kutuplaşmanın da en belirleyici odak noktası olmuştur.

View original post 463 kelime daha


FinSpy: Adalet Yürüyüşü’ ne ve demokratik sürece etkisi

Mayıs 17, 2018

*AccessNow’ın 14 Mayıs 2018 tarihli ‘Türkiye-FinSpy Raporu’ndan

Özetleyen: Derya Güçdemir, H.Ü.SBE. Y.lisans öğrencisi

Alman şirketi FinFisher, geliştirdikleri FinSpy isimli kötü yazılımı Türkiye’deki Adalet Yürüyüşü protestolarına ve muhalif görüşlere karşı kullanmış olmakla suçlanıyor.

Kullanıcıların dijital haklarını savunmayı hedefleyen Access Now’ın yayınladığı rapora göre, FinFisher’ın geliştirdiği kötü yazılım saldırıları sonucunda, yazılımı mobil cihazları hedefleyerek toplum mühendisliği[1] kampanyalarının bir parçası olarak kullandı ve saldırıların ölçeğini ve saldırganlığını artıran taktikler kullanarak Adalet Yürüyüşü protestolarında ana muhalefet partisini hedefledi.

Almanya, Münih’de 2008 yılında kurulan FinFisher, web sitesinde terör ve suçu engellemek ve araştırmak için kolluk kuvveti ve istihbarat kurumu ile özellikle işbirliğinde bulunduğunu, yazılımlarını yerleştirme yöntemlerinin en yeni bilgisayarlar, akıllı telefonlar, tabletler ve en çok kullanılan işletim sistemlerini kapsadığını ve kendilerinin hükümete bilgi teknolojileri ihlali ve uzaktan izleme çözümleri sağladığını belirtmektedir. Misyonlarının organize suça karşı başarılı operasyonlar gerçekleştirmek için birinci sınıf bilgi ve siber çözümler sağlamak olduğunu ve nötr değer (value-neutral) taşıyan teknolojiler ürettiklerini söyleseler de, teknolojilerinin baskıcı rejimler tarafından kullanılması ve ürünlerini insan haklarını ve bilginin özgürlüğünü ihlal etmek için kullanmış olan ve kullanan hükümetlere satmasından[2] dolayı demokrasi, insan hakları ve ifade özgürlüğü konularında eleştirilerin hedefi haline gelmiştir.

Peki, saldırı nasıl gerçekleşti? Casus yazılımın kişilere yayılmasını sağlamak amacıyla, yürüyüşün orijinal web sitesi olduğu iddia edilen ‘adaleticinyuru.com’ isimli siteye internet trafiğini yönlendirmek için Twitter hesapları açtılar. Bu Twitter hesaplarından, protestoyu destekler paylaşımlarda bulunan kişiler, yürüyüş ile ilgili popüler etiketler kullanarak, insanlara cevap vererek, insanları iktidar partisine karşı direnmek için cesaretlendirerek ve kötü amaçlı siteye link ile yönlendirerek web sitesinin tanınırlığını ve yayılımını artırdı. Facebook’da da aynı kötü amaçlı link paylaşıldı. Bunun asıl amacı insanları kötü niyetli siteye çekmek ve CHP’nin Twitter hesaplarını hedeflemek olsa da, aynı zamanda takip kitlesi küçük ya da büyük fark etmeksizin yürütüşte bulunan herhangi bir Twitter kullanıcısına FinSpy isimli kötü amaçlı yazılımı sevk etmekti.

Saldırıda kullanılan sahte Adalet Yürüyüşü sayfası, ziyaretçileri bir çeşit Android uygulaması olduğu sanılan uygulamayı indirmeye ikna etmek için tasarlanmıştı. Uygulamanın tam olarak ne olduğu açıklanmasa da, saldırganlar uygulama ile ilgili genel bir bilgi paylaşarak kitleyi yürüyüşe katılmaya çağırdı. Uygulama yüklendiği zaman “cloud service” (bulut hizmeti) etiketi ve Android imgesiyle ana ekranda görülmektedir –bu şekilde güvenilirliklerini temin etmişlerdir-, kullanıcı uygulamayı açtığında ya da cihaz yeniden başlatıldığında, kötü amaçlı yazılım kendisini ana ekrandan kaldırmaktadır. Bunun amacının uygulamanın fark edilmesini engellemek ya da kişi uygulamayı araştırmayı bırakana kadar ortaya çıkabilecek şüpheyi engellemek ya da kişinin uygulamayı indirdiğini ve yüklediğini unutmalarını sağlamak olarak değerlendirilmektedir.

Bunun dışında, saldırı için diğer Twitter hesaplarını da kullandılar. Başka bir saldırgan Adalet Yürüyüşü’nün resmi Twitter hesabı olarak (@Adalet_icinYuru) isimli hesabı kullandı ve sahte Adalet web sitesinin linkini profiline ekledi. Böylece Twitter hesabını ziyaret eden herhangi bir kişiyi, profilde verilen linkin yürüyüşün resmi web sitesi olduğuna inandırmaya yönlendirdi. Twitter hesabından yürüyüşe ait gerçek içeriklerle ilgili retweetler paylaştılar. Raporda, Adalet Yürüyüşü’nden önce protestonun katılımcılarını hedeflemeyi amaçlayan başka Twitter hesaplarının olduğu da belirtilmektedir. Kötü amaçlı kampanyaya katılmaya kandırılan Twitter kullanıcılarının kim olduğunu ayırt etmenin zor olduğu söylenmektedir.

Ayrıca, protestoyu destekleyen bazı Twitter hesaplarının protestodan çok daha önce oluşturulduğu görülmektedir. İlginç bir şekilde, bu hesapların ilk baştaki paylaşımlarının anti-Gülen tweetleri olduğu, Emniyet Genel Müdürlüğü’nün tweetlerini desteklediği ve Adalet Yürüyüşü protestoları ile hükümet yanlısı tweetler atmayı bıraktığı ve çeşitli CHP hesaplarını takip etmeye başladığı (CHP’nin tweetlerine kötü amaçlı link ile cevaplar vererek) belirtilmiştir. Bahsedilen profilin Türkçe bir botnet[3] ile ilişkili olduğu, benzer Twitter hesaplarından ve kurgusal personalardan oluşan bir ağ şeklinde düzenli olarak aynı içeriği paylaştığı, aynı hesaplardan içerikleri retweet ettiği ve birbirlerinin tweetlerini desteklediği ortaya konmuştur. Rapor, bahsedilen botnet aktivitesinin siyasi olarak yönlendirildiği, Recep Tayyip Erdoğan’ı ve güvenlik güçlerini destekleyen hesaplara odaklandığı, CHP’yi kötülediği ve Türkiye’nin mevcut dış politikadaki pozisyonunu olumladığını söylese de, botnetin amacının ne olduğunu kavramanın güç olduğunu, çünkü bu hesapların kısmen aktif olduğunu ve sınırlı durumlarda düzensiz bir şekilde kullanıldığını belirtmektedir.

Şirket kullanıcılara Twitter hesapları aracılığıyla ulaşarak ve kullanıcıları sahte kötü amaçlı yazılmış web sitelerine çekerek, FinSpy isimli casus yazılımı kişilerin cihazlarına yerleştirdi. FinSpy’ın ele geçirme kapasitesi ve yapabilecekleri ise adres defteri bilgisinin, takvimin ve telefon görüşmesi kayıtlarının toplanması; dosyaların, ekran görüntülerinin ve fotoğrafların toplanması; konumun izlenmesi; kurbanın mikrofonunun gizlice dinlenmesi ya da (FinFisher şirketinin terminolojisinde SpyCall ‘casus arama’ olarak ifade edilen) gizli aramaların yerleştirilmesi; ayrıca Line, WhatsApp, Viber, Telegram, Skype, Facebook Messenger, Kakao ve WeChat gibi mesajlaşma uygulamalarından toplanan iletişim ve medya dosyaları olarak sıralanmaktadır[4]. Böylece, uygulamayı indiren ya da web sitesini ziyaret eden kişilerin cihazlarına bulaşmış olan kötü yazılım ile kişilerin mesajları, medyaları, görüşmeleri ve lokasyonları dinlenmiş ve takip edilmiştir. Bu durumdan etkilenen ne kadar kişi olduğu ya da kimlerin etkilendiği bilinmemekte. Sadece yürüyüşe katılan ya da protestoyu destekleyen bireylerin değil, CHP’li milletvekillerinin konuşmalarının veya yazışmalarının da takip edilmiş olması muhtemel.

Sonuç olarak, raporda, Access Now’ın yaptığı operasyonlar sonucunda, FinSpy’ın Türkiye’de Adalet Yürüyüşü boyunca insan hakları savunucularını ve aktivistleri hedeflemek için kullanıldığı, yazılımın başka bir uygulamanın arakasına gizlendiği ve Twitter ve diğer sosyal medya platformları aracılığıyla yarı-otomatik kampanya ile dağıtıldığı sonucuna varılmıştır. Raporda FinSpy’ın, Türkiye’de vatandaşların gizlilik, ifade özgürlüğü ve fikir hakkını zayıflatma niyetiyle kullanıldığı belirtilmektedir.

Konuyla ilgili FinFisher isimli şirketten bir açıklama henüz yapılmadı. Adalet Yürüyüşü için bu gözetimi kimin talep ettiği de henüz bilinmiyor. Cumhuriyet Gazetesi’ndeki habere göre, CHP milletvekilleri konuyu mecliste araştırma önergesi haline getireceklerini belirtti. Ulaştırma, Denizcilik ve Haberleşme bakanı Ahmet Arslan ise “bakanlık olarak böyle casus yazılım almalarının söz konusu olmadığını” söyledi. Değinilmesi gereken bir nokta ise, CHP milletvekili Zeynep Altıok Akatlı’nın konuyu soru önergesi ile 11 ay önce gündeme taşımış olması.

Son görüş olarak, şirketlerin gerek kar gerek gözetim amaçlı birbiri ardına ortaya çıkan gizlilik ihlallerinin gelişen teknolojiler ile ilgili olduğunu düşünebiliriz, fakat aynı zamanda şirketlerin eylemlerini gözeten ve ihlalleri ortaya çıkaran gruplar ve savunucuların artan çabaları ile de ilgili olduğunu, konunun görünürlüğünün arttığını da gözden kaçırmamalıyız.

[1] Access Now raporda sosyal mühendislik kavramını, “insanların sosyal araçlar ya da etkileşimler ile manipüle edilmesi” ve  “genellikle toplum mühendisliğini yapan bireye ya da kuruluşa, kaynağa ya da yere erişim sağlayan bazı eylemleri gerçekleştirmesi” olarak tanımlamaktadır.

[2] http://www.wiki-zero.net/index.php?q=aHR0cHM6Ly9lbi53aWtpcGVkaWEub3JnL3dpa2kvRmluRmlzaGVy

[3] Oxford Dictionaries, botnet kelimesini kötü amaçlı yazılımın bulaştığı özel bilgisayarlardan oluşan ve kişinin bilgisi olmaksızın bir grup tarafından kontrol edilen bir ağ olarak tanımlamaktadır.

[4] Raporda WhatsApp, Facebook, Telegram, SMS ve çeşitli mesajlaşma uygulamalarına ait bilgilerinin nasıl ele geçirildiğini gösteren tablolar mevcuttur.

Kaynak: 

https://www.accessnow.org/european-made-finspy-malware-is-being-used-to-target-activists/


İnternetteki asılsız haberlerle mücadele

Mayıs 15, 2018

Neredeyse bir iç savaş çıkartma girişimi olan meşum Kabataş iftirasının kaynağı internet miydi yoksa geleneksel medya kanalları mıydı?

Doç.Dr. Erkan Saka

Kadir Has Üniversitesi Yeni Medya bölümü asılsız haberlerle mücadele konusunda Facebook ile sürdürdüğü işbirliğinin bir parçası olarak konuyla ilgili bir grubu bu hafta bir araya getirdi. Programın ilk iki saatine katılabildim ve bu sürede aldığım notlardan bu yazıyı hazırladım. Facebook yetkilileri bu konuda özellikle de seçim yaklaşırken aldıkları önlemleri anlatacaklardı daha sonra ama o kısma ben katılamadım. Seçimlerin ilanının çok hızlı gerçekleşmesi, ABD seçimlerinden sonra dünyadaki en büyük seçimlerden birinin Türkiye’de olacak olması Facebook’un alacağı önlemleri hayatî hâle getiriyor. Önümüzdeki günlerde bu konuda somut olarak ne yapacaklarını duyurabilirler.

Öncelikle böyle bir toplantıya beni de davet ettikleri için Yeni Medya bölümüne teşekkür ederim. Katılabildiğim kısımda konuşma fırsatım olamadı ama buradan aklımdakileri paylaşacağım.

1) Asılsız haber (ya da farklı şekilde kullanılan kavramsallaştırmaları) meselesini içinde bulunduğumuz kültürel ve siyasî ortamdan ayrı düşünemeyiz. En ideal haberciliğin yapıldığı durumda bile vatandaşların haberle olan ilişkisi kendi ideolojik ve kültürel konumlanmalarından ayrı düşünülemez. Defalarca yanlışlığı belirtilmiş enformasyon partizan amaçlar uğruna paylaşılmaya devam ediyor. Hele de bu enformasyon iktidar çevrelerinin işine geliyorsa bunu önlemek imkânsız gibi. Ayrıca başka bir bağlamda, daha önce yine P24’e yazdığım üzere medya en kolay günah keçisi. Ortaya çıkan bütün ifşaatlara rağmen Trump’ın ABD Başkanı seçilmesinde sosyal medyanın o kadar da etkili olduğuna inanmıyorum. Hattâ bir skandal seviyesinde olsa bile Cambridge Analytica’nın da seçimleri, sonucu değiştirecek kadar etkilediğini kanıtlamak zor. Belki yeni zamanlarda medyanın etkileme kapasitesi üzerine daha çok kafa yormak gerek. Tabii, ağır Facebook ve Google eleştirisi yapmak bugünlerde prim yaptıran bir durum. Pek de bir sonuca vardıracak olmasa da dramatik ve bazen apokaliptik çıkarımlarla tam da eleştirdikleri pozisyonlara düşen kişileri sıkça görmeye başladık.

2) Asılsız haber meselesi ülkeden ülkeye farklı konumlanmalar içinde olabilir. Örneğin Türkiye’de asılsız haber kaynağı öncelikle neresidir? Neredeyse bir iç savaş çıkartma girişimi olan meşum Kabataş iftirasının kaynağı internet miydi yoksa geleneksel medya kanalları mıydı? Buna benzer birçok yaygın asılsız haberin kaynağı hâlâ geleneksel medya görünüyor.

3) Tam da etki konusuyla ilişkili olarak şunu yeniden düşünmek gerek. Asılsız haber çok hızla yayılabilir ama güvenilir bir haber kaynağı daha geç haber yapsa da asılsız haberin etkisini büyük ölçüde kırabilir. Hızla yayılması o haberin aynı hızla bir sonuca yol açacağı anlamına gelmez. Birçok okur eyleme geçmeden önce daha güvenilir kaynakları kontrol ediyor ve bu kaynaklar bir süre sonra tamamen medya gündemini belirliyor. Profesyonel gazetecilerin haberi yarım saat daha geç girip gündemi yine de belirleyebilmesi mümkün. Hız ve güvenilirlik ilişkisine yeniden bakmak gerek.

4) Göründüğü kadarıyla tüm gelişmelere rağmen yapay zekâ bu işi tek başına çözebilecek durumda değil. Algoritmalar sürekli yenilense de bir insan gücüne ihtiyaç var. Facebook, Google ve Twitter gibi devler sivil inisiyatiflerle işbirliği yapabilir. Aslında bir tür sosyal gözetim mekanizması, bir kolektif akıl devreye girebilir. İyi bir geribildirim mekanizmasıyla enformasyon doğrulama konusunda yetkinlik kazanmış çevreler fark yaratacaktır.

5) Veri aktivizmi olarak tanımlanabilecek faaliyetler: Enformasyon akışına karşı güvenilir ya da düzenlenmiş bilgiye ulaşılabilecek alanlar yaratılması hayatî bir konu. Wikipedia gelmiş geçmiş en güzel örnek olarak karşımızda duruyor. Daha küçük ve niş alanlarda benzer işler yapılabilir ki birkaç projemizi de önümüzdeki günlerde duyuracağım.

6) “Eğitim şart” klişesine rağmen ülke çapında seferberliğe devam edilmesi gerektiğine inanıyorum. Konferans şeklinde değil ama dijital okuryazarlığı yayacak her çabanın sürece katkısı olacaktır. Ulaşılabilen tek bir yerel gazetecinin bile etkisi bazen kritik olabilir.

7) En hayatî durumlar dışında cezaî yaptırımlar söylemi ters tepecek bir alan olabilir. Bu alanda bir kanunî düzenleme otoritelerin bunu manipüle edip muhalefete yönelik bir tehdide dönüştürmesiyle sonuçlanacaktır.

8) Yeni iş modellerinin geliştirilmesi elzemdir. Zaten bu bağlamda bu sitede de benzer sitelerde de artan içeriği görebiliyorsunuz. Nasıl ki Netflix, Spotify vb Türkiye’de abone kazanabiliyor, belki Türkiye’deki haber okuruna da bir şans vermek lazım…

Kaynak:
http://platform24.org/etkinlikler/yazarlar/3047/internetteki-asilsiz-haberlerle-mucadele
(Yazarın izniyle)

HÜ İLETİŞİM FAKÜLTESİ PRODÜKSİYON ATÖLYESİ “AKILLI TELEFON İLE ÇEKİM VE KURGU TEKNİKLERİ ATÖLYESİ”

Mayıs 11, 2018

 

Akıllı Telefon ile Çekim ve Kurgu Teknikleri Atölyesi - Banner

Günümüz teknolojileri ile akıllı telefon sahibi herkes amatör düzeyde kendi filmini yapabilecek koşullara sahip. İzlenebilir bir film için yine de teorik ve pratik bilgilere ihtiyacımız var. Bu atölye ile katılımcılar temel sinematografi bilgisi ve kullanılacak applicationlar için uygulamalı pratik bilgiye sahip olabilecek.

Tarih

17 Mayıs 2018 (Perşembe)

Atölye Programı

10:30 – 16:30

Akıllı Telefon İle Çekim ve Kurgu Teknikleri

Uygulamalı Çekim ve Kurgu

Sosyal Medyada Video Paylaşımı

Yer

Hacettepe Üniversitesi İletişim Fakültesi Dijital Hikaye Anlatımı Atölyesi

(Beytepe Kampüsü – Edebiyat Fakültesi Binası)

Detaylar

Atölyeye katılımlar ücretsizdir. 15 kişi ile sınırlıdır.

Başvurular: iletisimproduksiyonatolyesi@gmail.com (15 Mayıs 2018’e kadar)

 

 

 

 


Sosyal ağda “seçmenin nabzı” yoklanabilir mi?

Nisan 30, 2018
Yazan Sarphan UZUNOĞLU

“Şuraya bakarsan seçmenin tercihini görürsün” demektense “şuraya bakarsan x partisinin iletişim stratejisini kavrayabilirsin” demek mümkün

 

Erken seçim tartışmalarının ortaya çıkması ve nihayet Cumhurbaşkanı’nın tarih vermesiyle birlikte herkes aklındaki “ne olacak” sorusunu etrafındakilere sormaya başladı. Her seçimde olduğu üzere bu seçimde de Twitter başta olmak üzere birçok sosyal ağda anketler baş gösterdi.

Twitter’ın “anketler” özelliğine güvenenler için iş pek de keyifli değil. Zira çok spesifik bir soru sormadıkları sürece etkili ve detay içeren bir yanıt alamıyorlar. İşi biraz daha profesyonel yapalım diyenler için havuz problemi ortaya çıkıyor. Zira birçok anket servisi belirli sayının üzerinde ve çok sorulu anketler için çeşitli miktarlarda ücret isteyebiliyor. Bunlar da çoğu zaman “zevk için ödenecek” miktarlar değil. Zaten Türkiye’deki en büyük araştırma şirketlerinin bile metodolojileri ve örneklemleri şüpheliyken, zevk için kalkışılacak bir iş de değil bu.

Teknik ve yöntemsel birçok problemi olmasına karşın sosyal ağlarda karşılaştığımız anketlerin en önemli özelliği kendi kanaatlerimizi güçlendirme isteğimiz. Yalnız olmadığımızı hissetme arzumuz. Yani aslında Swarm’da bir mekânda toplu check-in yaparak miting yaptığımızı düşünmekle eşdeğer bir ilginçlik var burada.

Fizikî eylem ve dijital eylemin ağırlığı bir mi?

Fizikî eylemle arzunun ya da düşüncenin arasındaki ilişki uzun yıllar felsefenin konusu oldu. Peki ya “dijital eylem”? Dijital eylem, her ne kadar çok daha kamusal ve çok daha geniş kitlelere ulaşma potansiyeline sahip bir eylem tipi olarak görünse de Türkiye gibi sosyal ağ kullanımı yoğun bir ülkede dahi aslında mesele bu şekilde gerçekleşmiyor. Bu hem Twitter ve Facebook’ta oluşturduğumuz yankı odalarına dayalı iletişimsizlik sisteminin yarattığı derin problemlerle ilgili, hem de ifade konusunda yeterince özgür hissetmediğimiz için asıl kanaatlerimizi açıklamaktan kaçınmamızla ilgili.

Eylemlerin dijital ve fiziksel olarak ikiye ayrılıp ayrılmaması konusu üzerine uzun uzun düşünmeye değer bir konu. Cinsellikten arkadaşlığa birçok sosyal davranışın dijital formlarda gerçekleşme biçimleriyle fiziksel evrende gerçekleşme biçimleri arasında büyük farklılıklar var. Peki bu farklılıklar evreninde, fiziksel eylem de dijital eylem de kognitif bir sürecin sonunda gerçekleşse de seçmen davranışının yerini nereye koyacağız? Kişilerin dijital alandaki eylem ve hareketleri gerçekten oy verme davranışları konusunda bize bir şey söyleyebilir mi?

Kolombiya’dan Türkiye’ye: Nasıl bir sosyal ağ araştırması?

University of Notre Dame’daki araştırmacılara göre sosyal ağlar kesinlikle seçmen davranışlarını ölçme konusunda önemli birer ölçüt arz ediyor. Kolombiya’daki referandum öncesindeki son üç haftada atılan tweet’lere göre bir sonuca gitmeye çalışan araştırma evet ve hayır diyen kitlelerin farklı değerler olarak tanımladıkları barış ve adalet üzerinden kutuplaşarak hareket ettiklerini doğruluyor. Araştırmacılar çeşitli anahtar sözcüklerin kullanımı ile seçimde verilen oyun rengi arasında bir ilişki olduğunu belirtiyorlar. Ancak bu elbette şu anda kamusal tartışmanın görece daha az sakıncalı olduğu bir ortamda gerçekleşiyor. Yani bizim de aynı yöntemi kullanarak hızla araştırma yapmamızın önünde türlü engeller var.

Sosyal ağı dinlemek özellikle niceliksel veri odaklı çalışanlar için oldukça keyifli. Bahsettiğimiz araştırmadakine benzer metrikler kullanarak partilerin sosyal ağlardaki popülerlikleri üzerine yorum ve çalışmalar oluşturmak mümkün. Ancak burada astroturfer olarak tanımlanan kampanyacı hesapların ve bot olarak tanımlanan hesapların yaratacağı etkiyi de her daim akılda tutmakta fayda var.  Bugün Twitter’da sıklıkla rastladığımız anlamsız trending topic’lerin arkasında bot olarak bildiğimiz hesapların olduğu bir gerçek. Elbette bu tür hesapların gerçekten bot olup olmayacağını anlamak için kullanılabilecek araçlar da mevcut. Ancak büyük ölçekli araştırmalar yapan araçların birçoğunun bu tür teknolojilerle desteklenmediği de bir gerçek.

Nereye bakmalı?

Peki, her yanın bot’lar ve kampanyacı hesaplarla (astroturfer) dolu olduğu bir ortamda nereye bakmalıyız? Açıkçası Türkiye’de siyasal tartışmanın en derli toplu yaşandığı sosyal ağ Ekşi Sözlük. Şahsen, kurulduğu günden bu yana benim en sık takip ettiğim ağ da Ekşi Sözlük. Ancak burada altı çizilmesi gereken bir detay var. Twitter, Facebook ve hatta Linkedin’e kadar varan kampanyacılık, Ekşi Sözlük’te de devam ediyor. Her ne kadar farklı partilerin destekçileri birbirlerine anlamsızca troll deseler de (fikrini beğenmediğimiz herkesi troll ilan etmek hem bilgisizlikten hem de kibirden kaynaklanıyor) çetin bir mücadele yaşanıyor. Adalet ve Kalkınma Partisi, Cumhuriyet Halk Partisi, Halkların Demokratik Partisi, Saadet Partisi, İyi Parti ve Milliyetçi Hareket Partisi gibi partilerin ana ekseninde olduğu bir tartışma oldukça hararetli şekilde devam ediyor.

Buraya bakarak bir analiz yapmak, özellikle de Ekşi Sözlük’ten veri çekecek yazılım veya kodların geliştirilmemiş olması nedeniyle oldukça güç. Basit söylem analizleri yaparak ilerlediğinizde de ironinin duvarına toslama ihtimaliniz yüksek. Yani otomatikleşmiş bir söylem analizi yapmak neredeyse imkânsız. Buradan sadece belirli partilerin, özellikle seçimlere girip girmeyeceği seçimlerin ana konusu hâline gelmiş yeni bir parti olan İyi Parti’nin kampanyacı hesaplarının veya gönüllü destekçilerinin geçmiş yıllarda Ekşi Sözlük’te seçimler öncesi farklı parti ve siyasetçilerin destekçilerine verilen türde bir destek verdiği, bir şekilde tartışmayı domine etme eğiliminde olduğu görülebilir.

Yani aslında “şuraya bakarsanız seçmenin tercihini görürsünüz” gibi iddialı bir söylem yerine, “şuraya bakarsanız x partisinin iletişim stratejisini kavramanız daha kolay” gibi bir sav ortaya koymak bana kalırsa daha mantıklı. Elbette seçimler yaklaştıkça niceliksel olarak daha derli toplu bir veri elimize geçecek. Biz de bu veriyi rahatlıkla kullanmaya başlayacağız. Yine de iletişim ya da siyaset alanında çalışanlar için büyük veri döneminin bu kaotik karakteri sorun olmaya devam edecek ve insanlar sonuç itibariyle geleneksel araştırma şirketlerinin son seçimlerde genellikle elde patlayan anketlerinde alacaklar soluğu.

Bu nedenle bu seçimlerde “seçmenin nabzını” dinlemek için kesin sonuç garanti etmese de sosyalağları dinlemekte fayda var; ama aslen “politikacıların beklenti ve ihtiyaçlarını” anlamak için onların hangi sosyal ağı hangi slogan ve taktiklerle yönettiğini çalışmak bana çok daha mantıklı geliyor.

Kaynak:http://platform24.org/yazarlar/2992/sosyal-agda-secmenin-nabzi-yoklanabilir-mi

Gazetecilik 2.0 – İnternet Gazeteciliğinde Hipermetinsellik

Nisan 17, 2018

Kitabın Yazarı: Bilge NARİN, Gece Kitaplığı, Ankara, 2017, 375 sayfa.

Değerlendirme: Şerife ÖZTÜRK, Ankara Üniversitesi SBE Gazetecilik A.B.D

 İnternet, 1990’lı yıllarda insanların hayatına girmeye başladığında kuşkusuz hiç kimse, bugünleri tahmin edemezdi. İnternete, yıllar geçtikçe ve teknoloji ilerledikçe birtakım özellikler ve uygulamalar eklemlenmiş; bunlar geliştikçe alanlar dönüşüme uğramıştır. 2000’li yıllarda toplumsal yaşamda büyük bir öneme sahip olmaya başlayan ve barındırdığı özellikler ile insanların vazgeçilmezi haline gelen Web 2.0 temelli uygulamalar, her alanın olduğu gibi, gazetecilik alanının da temel yapı taşı olmuştur. Tabi bunda Web 2.0’ın sahip olduğu özellikler de başroldedir.

Gazetecilik alanına Web 2.0’ın girmesiyle internet gazetelerini geleneksel gazetelerden ayıran üç temel özellik belirgin hale gelmeye başlamıştır: Etkileşim, multimedya biçimselliği ve hipermetinsellik. Kitap, hipermetnin gazetecilik alanında kullanımının ve uygulamasının araştırılarak bulguların detaylı bir şekilde ortaya konduğu, yeni medya ve gazetecilik alanında akademik çalışma yürütenler ve alana ilgi duyan herkesin yararlanabileceği en iyi kaynaklardan biridir.

Yazarın ilk kitabı, “Gazetecilik 2.0 – İnternet Gazeteciliğinde Hipermetinsellik”, doktora tez çalışmasının bir ürünüdür. Robot gazetecilik, gazeteciler için programlama dili ve veri görselleştirme üzerine çalışmalar yapan Narin, kitabında, dijital ortamlarla birlikte haberin dönüşümünü hipermetinsellik açısından ele almaktadır.

Haberin arka planının veya başka olaylarla bağlantısının metin üzerinde linkler aracılığıyla sağlandığı hipermetinsellik özelliği, haberin bütünselliğini sağlaması, okuyucunun haberden kopmaması açısından oldukça önemlidir.  Hipermetinsellik sadece haberde değil yazılı diğer metinlerde de dipnotlar, atıflar aracılığıyla farklı kaynaklarla bağlantı kurarak gerçekleştirilmektedir.

Kitapta, ifadelerin açık olması, akıcılığı sağlayan en önemli unsurlardan. Dört bölümden oluşan kitapta en fazla bölüm doktora tezi olması itibariyle ampirik araştırmaya ayrılmıştır. Narin, kitabının başlangıcında, hipermetinselliğin internet gazeteciliği pratiklerinde yarattığı dönüşümü disiplinlerararası bakış açısıyla çoklu yöntem kullanarak sorguladığını ifade etmektedir.

Çalışmanın ampirik bölümünde Narin, hem Türkiye’de yayıncılık faaliyetini sürdüren çeşitli internet haber sitelerinin hipermetni kullanım şeklini karşılaştırmakta hem de sektörde çalışanlarla yaptığı görüşmeler ile hipermetinselliğin gazetecilerin çalışma koşullarında haber metninde ve kullanıcılar üzerinde yarattığı dönüşümü tartışırken, gazetecilik alanındaki dönüşümün içerikten çok biçimsel anlamda olduğunu vurgulamaktadır.

Hipermetni, postyapısalcıların yıllar evvel dayandırdıkları yapıbozum (Bakhtin ve Derrida) ve yeniden inşa kavramlarına dayandırarak kuramsal bağlamda açıklayan Narin, hipermetinsellik için farklı bir tanım yapmaktadır: “Hipermetinsellik, özne ve nesnenin sabit olmadığını göstermenin teknolojik bir yoludur.” Bu tanım, dijital ortamlardan önce belki de yeterince anlatılmayan metinlerarasılığa dikkat çekmede ince bir çizgidir.

Kitabın “İnternet Gazeteciliği” başlığını taşıyan birinci bölümü, gazetecilik alanında hipermetinselliğin kullanıldığı internet gazeteciliğine ayrıntılı biçimde değinmektedir. İnternetin çeşitli özelliklerini anlatarak başlayan bu bölüm, “yakınsama (convergence)” kavramının iletişim teknolojilerindeki öneminin altını çizmektedir.

Kitapta, gazetecilik mesleğinde iş pratiklerinin dönüşüme uğradığı ve bu dönüşümde haber üretim süreçlerinden başlayarak haberin her aşamasında yeni medya uygulamaları ve araçlarının etkili olduğuna vurgu yapılırken, alanda “hızlı olma” baskısının da gazeteciliğin niteliği açısından tehdit oluşturduğu ifade edilmektedir. Bu şekilde teknolojinin hem olanakları hem de birtakım zorlukları ve ele alınarak, teknolojik deterministik yaklaşımdan ve teknolojik kötümserlikten uzaklaşılmış ve dengeli bir tavır sergilenmiştir.

İnternet gazeteciliğinin temel özellikleri ile dünyada ve Türkiye’deki gelişimine yer verilen bölümde, konuyla ilgili birtakım sayısal veriler de yer bulmaktadır. Bu sayısal veriler sayesinde, internetin başlangıcından bu zamana kadarki gelişimi gözler önüne serilmektedir. Teknolojideki gelişim ve teknolojinin toplumsal yaşamdaki yeri, en iyi sayısal verilerle anlatılmaktadır ve kitabın yazarı Narin de, kitabında bu yönteme sıkça başvurarak okuyucunun ilgisini canlı tutmaktadır.

Gazetecilik 2.0 kavramı, kitapta vurgulanan diğer bir kavram. Kitaba adını veren kavramlardan olan ve Web 2.0 temelli uygulamaların gazetecilik alanındaki kullanımı olarak nitelenen Gazetecilik 2.0’ın, içeriklerinin kullanıcı tarafından üretilmesi, gazetecilik alanına yeni bir boyut kazandırmaktadır. Narin kitabında bu konuyu detaylandırarak, Web 1.0 ve Web 2.0 ortamlarını da karşılaştırmalı olarak sunmaktadır.

Kitabın ikinci bölümü “İnternet Gazeteciliğinde Hipermetin” başlıklı. İnternet ortamlarının detaylı olarak anlatıldığı birinci bölümün ardından artık konu, sınırlandırılmaktadır. Bölüm, Nelson, Manovic, Barnet, Miller vb. isimlerin hipermetin tanımlarıyla ve hipermetnin tarihçesi ile başlamaktadır. Bu tanımlarda üzerinde durulan ortak nokta, metinlerin yapısı ve birbirleriyle bağlantılarıdır.

Kitapta, “dijital metin” veya “ağ metin”  olarak tanımlanan hipermetnin, okuyucu ve yazar arasındaki keskin sınırları ortadan kaldırdığı, bu özelliği ile de Barthes’ın “ideal metni”nin bir örneği olduğu ifade edilmektedir.  Metin ve hipermetnin karşılaştırıldığı bölümde, hiperlinklerin izleyicinin dikkat algılarını düzenleyen elektronik yapılar olduğu üzerinde durulmuştur. Hipermetinle ilgili olumlu yaklaşımlar yanında eleştirilen noktalara da değinen Narin, hipermetin türlerini detaylı olarak ele almaktadır.

Narin’in kitabında çoğunlukla yeni kavramlarla karşılaşıyoruz. İşte bir örnek daha: Hiperhabercilik. Hipermetinlerin kullanıldığı internet gazeteciliği için tanımlanan bu kavram, aynı zamanda hiperlinklerin haber organizasyonları içindeki rolünü açıklamada da yardımcıdır.  Hiperlinklerin gazetecilere ve haber metinlerine sağladığı avantajları sıralayan Narin, hiperlinklerin gazetecilikte farklı şekillerde sunulabileceğini dile getirmektedir. Hipermetnin gazetecilikte yarattığı dönüşüme değinilen bölümün sonunda, bu dönüşümün etkileşim, güvenilirlik, şeffaflık ve çeşitlilik olduğu ifade edilmektedir.

“İnternet Haberlerinde Hipermetin Yapılarına Yönelik İçerik Çözümlemesi” başlığını taşıyan kitabın üçüncü bölümü, adından da anlaşılacağı üzere nicel analize ayrılmıştır. Bölümün başında, internet temelli nicel araştırmalara ilişkin tartışmalar sunan Narin, hepimizin Web içeriklerinin analizinde karşılaştığı birtakım güçlükler bulunduğunu belirterek, bunları beş başlıkta kategorilendirmiştir (bkz. s. 137). Bu güçlüklerin verilerin büyüklüğünden, verilerle nasıl çalışılacağının ve verilerin nasıl sınıflandırılacağının bilinmemesinden kaynaklandığı alanda çalışan akademisyenler tarafından da dile getirilmektedir.

Kitabın bu bölümünde, içerik analizi için örneklem seçimi ve bu seçimde dikkat edilecek hususlar örneklerle sunulmaktadır. Örneklem seçiminin ardından bu örneklemi oluşturan haberlerin gerçekleştiği yer, konuları ve hipermetin biçimleri, haberdeki etiketlerin tema olarak dağılımı, etiketin yönlendirdiği kişi ve kurumlar tablolar şeklinde açıklanmaktadır.

İnternet gazetelerinin link kullanımına ilişkin karşılaştırmalı analizlerin de yer aldığı kitabın bu bölümünde, Türkiye’de faaliyet gösteren farklı internet haber sitelerinde multimedya ve hipermetin ögelerinin haber metinlerine nüfuz ettiği ancak yaygın olarak kullanılmadığı sonucuna varılmaktadır.

Kitabın son bölümü olan, “İnternet Gazetelerinde Habercilik Pratikleri”, araştırmanın nitel yönteme dayanan bölümünü içermektedir. Doktora tezi olması nedeniyle araştırmanın en can alıcı kısımlarından birini teşkil eden bu bölümde, 15 sorudan oluşan derinlemesine görüşmenin analiz sonuçları yer almaktadır. Narin kitabının son bölümünde, internet gazetelerindeki hipermetin politikası, hipermetin kullanımındaki teknik ve anlamsal ölçütler, hipermetnin arşivleme politikasıyla bağlantısı, hipermetin oluşturmada editörün rolü ve teknik ekiple ilişkisi gibi sorulara cevap aramaktadır. Sorularına cevap ararken internet gazeteciliğinde çeşitli aşamalardaki dönüşümü de ele alan Narin, gazeteciliğin geleceğine dair öngörülerini de sıralamaktadır.

Narin kitabını, hipermetinselliğin geleneksel yazma biçimlerini dönüştürdüğünü, ancak bu dönüşümün gazetecilik sektörüne tam anlamıyla yansımamakla beraber, alan içerisinde yeni dinamiklerin oluşmasına neden olduğunu ifade ederek sonlandırmaktadır.

Yeni medya uygulamalarının pek çok özelliği içinden hipermetinselliği araştırma konusu olarak seçen Narin, hem hipermetinsellik hem de hipermetinselliğin haber metinlerinde kullanımı ve internet gazeteciliği konularında da alana yeni bir kitap kazandırmıştır. Kitabın son iki bölümü özellikle internet temelli araştırmalar yapanlar için yöntem konusunda ufuk açıcıdır.

Dünyada Web 3.0 kullanımına geçildiği günümüzde, internet gazeteciliğinin hipermetinsellik özelliğini ve kullanımını detaylı bir şekilde ele alan kitap, Narin’in ileriki dönemlerde yayınlanacak olan diğer eserlerinin içeriği hakkında da ipuçlarını vermektedir. Narin’in çalışmasını yoğunlaştırdığı “Robot Gazetecilik” konusundaki araştırmalarının yayına dönüşmesini merakla beklemekle birlikte, alana sağladığı ve sağlayacağı katkılarının gelecek dönemler için daha da önemli hale geleceği ortadadır.

 

 


Veri Distopyası: Buz dağının görünen parçası Cambridge Analytica

Nisan 14, 2018

Yazar: Derya Güçdemir, Hacettepe Ünv. SBE. Y.Lisans Programı

“Reklamcılık zorlayıcı değildir; insanlar bundan daha akıllı”[1]

“Obama’nın 2008 kampanyası herkesin çok iyi bildiği üzere veri güdümlüydü, özellikle insanların önemsediği konular hakkında onlarla konuşarak 2012 yılında mikro hedeflemeye öncülük etti[2]

-Cambridge Analytica

Büyük verinin ve algoritmaların toplumun kültürel ve sosyal örgüsünü değiştirdiği bir dönemde, politik liderler de seçim kampanyalarını nasıl yürüteceklerini değiştiriyor. Donald Trump’ın başkanlığa seçilmesinde bireylerin izni olmadan 50 milyondan fazla Facebook kullanıcısının verisini politik kampanya için ihlal etmek, Brexit’in resmi kampanyası olan Vote Leave kampanyasını yürüten dijital ajans Aggregate IQ ile bağlantılı olmak ve Facebook’da sahte haberlerin yayılmasını sağlamak ile suçlanan Cambridge Analytica bugün karşılaştığımız ve ileride karşılaşacağımız veri temelli manipülasyonlardan sadece birisi.

Cambridge Analytica’nın bireylerin Facebook verisini nasıl toplayıp analiz ettiği, kişilerin psikografik profillerini çıkartarak hangi partiye oy verme eğiliminde olduklarını nasıl tahmin ettiği ve seçmenlerin davranışlarını nasıl değiştirdiklerine yönelik soruları cevaplamadan önce daha temel sorularla başlayalım. Neden her şey veri odaklı olmaya başladı? Veri temelli bir dünyada yaşamak ne demek? Verinin değerinin olması ne anlama geliyor ya da verinin değeri nereden geliyor? Gündelik yaşamda deneyimlediğimiz veri odaklı değişimlerin aslında toplumdaki her bireyi etkilediğini ve ilgilendirdiğini söyleyebiliriz, çünkü şu an içinde bulunduğumuz dijital dünyada herkes veri sahibidir.

Verileşmiş toplumda yaşamak

O halde, belki de öncelikli olarak sorulması gereken soru, nasıl bir toplumda yaşıyoruz ve nasıl bir topluma doğru gidiyoruz? İçinde bulunduğumuz toplum bilgi toplumu veya dijital toplum gibi birçok şekilde adlandırılıyor. Burada işaret edilen nokta ekonominin yapısının ve temel girdisinin bilgi olması ve ekonomik süreçlerin bilgi odaklı olarak işlemesidir. Dijital bir devrimin tam da başında olduğumuz ve aslında bugün bilginin işlenmesiyle karşılaştığımız sonuçların ileride edineceğiniz tecrübelerin sadece başlangıcını oluşturduğu düşünülmektedir. Yani bu daha sadece bir başlangıç.

“Veri hava kadar değerli! Veri yeni petrol! Veri yeni enerji kaynağı…” gibi verinin ekonomik değerine dikkat çeken cümlelerle sıkça karşılaşır olduk. Peki, veri neden bu kadar önemli, veriyi değerli kılan unsur nedir ve verinin ekonomik değeri nereden geliyor? Tarihsel olarak bakarsak, toplumlar için önemli kaynağın önceden toprak olduğunu, sanayi toplumlarında ise ham maddenin, enerjinin ve petrolün kaynak olarak kullanıldığını ve bunlar için ülkelerin savaştığını görüyoruz. Bugün ise, bu temel dinamiği bireylerin dijitalleşen hayatlarının her alanında ürettikleri veri oluşturmaktadır. Bilginin sanayiye eklemlenmesi ile reklamcılıktan üretime kadar her alanda bir verimlilik artışı söz konusu, çünkü bu sayede çok daha az enerji, kaynak ve zaman israf edilmekte. Peki, bu tam olarak ne anlama geliyor?

Bir örnekle ilerleyelim. Hemen hemen herkesin bir sosyal medya hesabı var. Bu platformlara kaydolurken, aldığımız hizmet karşılığında ücret ödemiyoruz. Birçok kullanıcı bunun üzerinde pek durmasa da, önemli bir sorunsala işaret ediyor; kapitalist bir sistemde, bu nasıl mümkün olabilir? En temel ihtiyaçlar bile ücretliyken, birçok teknik insanı çalıştıran sosyal medya platformları ve hizmetleri nasıl ücretsiz olabilir? Ya da farklı bir açıdan bakalım. Facebook, Instagram’ı 1 milyar dolara satın aldı (The Guardian, 2012). Hizmetlerini kullanmak için tüketicilerin para ödemediği bir platform, nasıl 1 milyar dolar değere sahip olabilir? Cevap aslında çok basit; sosyalleşme, iletişim kurma ve paylaşma hazzını yaşarken aslında kendi verilerimizle ödüyoruz. Bu durumda, veriler metalaştığı için bireyler tüketici değil, satılan ürünün kendisi olmakta. Sadece sosyal medya ile sınırlı düşünmemiz lazım. Vücudumuzun ve eylemlerimizin dijitalleştiği her alanda veri üretiyoruz. Uyurken bile kaç saat uyuduğumuzu, kaç kere uyandığımızı, ne kadar süre REM uykusunda kaldığımızı, nabzımızı, vücut sıcaklığımızı ölçen uygulama ve dijital araçlar ile veri üretmeye devam ediyoruz. Tüm bu veriler toplanarak, üçüncü şahıslarla paylaşılarak, veri madenciliği ile anlamlandırılarak ve satılarak ekonominin bir parçası haline geliyor.

Enformasyon toplumunda her ne zaman dijital bir cihaz ya da uygulama kullanırsak, arkamızda dijital izler bırakıyoruz. Bu izler bizim kim olduğumuza dair hikâyeler anlatıyor. Örneğin, konumunuz, arama geçmişiniz, kullandığınız cihaz, tarayıcınız, beğenileriz, yorumlarınız ve daha birçok detay. Bu durum gerek ticari firmalara, gerek devletlere, gerek platformların kendilerine ve gerek politikacılara çok büyük bir avantaj sağlamaktadır. Daha önce hedef kitlesini cinsiyet, yaş, eğitim, din gibi demografik bilgilere göre belirleyen ve hedefleyen şirketler, veri analizi sayesinde artık hedef kitlesinin tam olarak bilme, adımlarını tahmin etme ve davranışlarını değiştirme gücüne sahip ve hiçbir iktidar böyle bir güce hayır diyemez.

Cambridge Analytica krizi

Algoritmik yazılımların kültüre ve topluma etkisini genellikle başarısızlığa uğradığında, şirketlerin çıkar için neler yaptığını ve denediğini ise içlerinden bir muhbir çıktığında görüyoruz. Cambridge Analytica’nın hikâyesi ise şu şekilde. Eski araştırma direktörü Chris Wylie, birçok ülkede demokratik sürece zarar vermiş olan bir şirketi geliştirmek için önemli bir rol oynadığını ve bunun kendisine ağır geldiğini söyleyerek muhbir olarak ortaya çıkıyor (Channel 4 News, 2018).

2013 yılında Cambridge Üniversitesi psikometri merkezinde, kullanıcıların Facebook beğenilerinin kendileri hakkında ne kadar bilgi ortaya çıkarabildiği araştırılıyordu. Chris Wylie, ordu için psikolojik operasyonlar konusunda uzmanlaşmış bir şirket olan Strategic Communications Laboratories – SCL’de çalışıyordu. Chris Wylie’ye göre, Facebook sadece insanların aklındakileri okumak için değil aynı zamanda fikirlerini değiştirmek için de zengin bir kaynaktı. Bu düşüncesi SCL müşterilerinden Steve Bannon’ın dikkatini çekti. Steve Bannon, online dergi Breibart’ın müdürüydü ve sonrasında da Donald Trump’ın kampanya yöneticisi olacaktı. Steve Bannon’ın talep ettiği şey ise Amerika’nın kültürünü değiştirebilmek, kültürü okuyabilmek ve kendi kültür tahayyülü için bir çeşit silah yaratabilmekti. Akademisyenlerin, Facebook verileri üzerinden insanların kişiliklerinin profilini çıkarttıkları yöntemi Amerikan seçmeni üzerinde kitlesel ölçekte yapmalarını talep etti. Bu işi gerçekleştirmek için gerekli olan finansal desteği milyarder Robert Mercer ve kızı Rebecca Mercer’den temin ettiler ve Chris Wylie aracılığıyla Aleksandr Kogan’a ulaştılar. Cambridge Üniversitesi’nde akademisyen olan Aleksandr Kogan’ın araştırma amacıyla Facebook’tan kullanıcı verisi toplamaya izni vardı. Böylece Cambridge Analytica, SCL Group şirketinin yan kuruluşu olarak 2013 yılında kuruldu (a.g.e).

Manipülasyonda yeni bir teknik: Psikografi

Peki, hedeflenmiş reklamlar aracılığıyla Trump ve Brexit kampanyalarının seçmenlerini psikolojik olarak manipüle eden teknik neydi? Cambridge Analytica’nın görevden alınan CEO’sı Alexander Nix, yöntemlerinin davranış bilimi, veri analizi ve adreslenebilir reklam teknolojisi olmak üzere üç ana bileşenden oluştuğunu belirtiyor (Nix, 2016). Birçok şirket kullanıcılarını demografik ve coğrafik özelliklere göre ayırırken, Cambridge Analytica psikografik özellikleri de değerlendiriyor. Psikografi insanların kişiliklerini anlamak için kullanıyor, çünkü bir kişinin nasıl oy vereceğini belirleyen şey kişinin davranışı, kişinin davranışını belirleyen şey ise kişiliktir. Bunu başarmak için, OCEAN ismini verdikleri beş faktör içeren bir kişilik modeli geliştirdiler. Openness (açıklık), conscientiousness (titizlik, sorumluluk duyma), extroversion (dışa dönüklük), agreeableness (uyumluluk) ve neuroticism (nevrotiklik). Kişinin yeni deneyimlere ne kadar açık olduğu, kişinin hayatında düzen, alışkanlıklar ve planlamayı seçip seçmediği, kişinin ne kadar sosyal olduğu, kişinin toplumu ve başkalarının ihtiyaçlarını kendisinden önce koyup koymadığı ve kişinin ne kadar çok endişelenme eğiliminde olduğunu ölçen bu model ile hedefledikleri bireyin kişiliğini bilerek, mesajlarını o kişiye göre nüans etme ve böylece hedef kitlesinde daha etkili bir şekilde duygu, anı ve imge uyandırma imkanına sahip oldular (a.g.e.). Bu sayede, hedef kitlede hangi mesajın işe yarayacağını tahmin etmeye gerek kalmadan, kişisel veri noktalarını toplayarak hangi kitlede hangi mesajın işe yarayacağını bilebilir hale geldiler. Kitlesel iletişimin aksine, reklamcılık her bir bireye göre bireyselleştirildi. Reklamların bireyselleşmesiyle, sadece tüketilen ürünler değil, seçim zamanında insanların en çok önemsediği konular da hedeflenmiş politik reklamlar olarak kişiselleştirildi.

Binlerce Facebook kullanıcısı kendi rızasıyla para karşılığında Kogan’ın geliştirdiği uygulamayı indirip bir kişilik anketi doldurdu ve böylece Dr. Kogan kullanıcıların Facebook verilerini toplayarak Cambridge Analytica ile paylaştı. Fakat uygulama sadece anketi doldurmaya rıza gösteren 270.000 kullanıcının verisini değil, ankete katılan kullanıcıların arkadaşlarından gizlilik ayarlarında düzenleme yapmamış olanların verilerini de toplayacak şekilde tasarlandı. Böylece, sadece kişilerin ankete verdikleri cevapları değil, anketi dolduran kişilerin Facebook bilgilerini (beğeniler, durum güncellemeleri ve bazı durumlarda özel mesajlar) ve arkadaşlarının bilgilerini de topladılar (The Guardian, 2018). Bu şekilde 50 milyondan fazla Facebook kullanıcısının bilgilerini elde ettiler (a.g.e).

Şirket Facebook verilerini kullanarak hedef seçmen grupları belirledi ve bireylerin fikirlerini etkilemek için hedeflenmiş mesajlar tasarladı (a.g.e). Mikro hedefleme ile insanların hangi mesajlara karşı duyarlı olduklarını, bu mesajı nerede tüketeceklerini ve bir konu hakkında insanların nasıl düşündüğünü değiştirmek için duyarlı oldukları konu ile kişilere ne kadar temas etmeleri gerektiğini biliyorlardı (a.g.e). Topladıkları veri ile Amerika’daki ya da belirli bir bölgedeki her seçmenin psikolojik profilini çıkarttılar. Hedefleme sadece kişilerin hangi mesajlara karşı duyarlı olduğu yönünde değil, bu mesajların çerçevesinin, içeriğinin, konusunun ve mesajının tonunun ne olması gerektiğine de yönelikti (The Guardian, 2018). Daha sonra şirketin hedefleme ekibi bu mesajları internete koydu. Bunun için gerektiğinde web siteleri ve bloglar oluşturuldu, sosyal medyada kişilere hedeflenmiş politik mesajlar gösterildi (a.g.e). Chris Wylie bu durumu kamusal bir meydanda fikrini söyledikten sonra, insanların sana gelmesiyle oluşan ortak deneyimdense, her bir insanın kulağına tek tek konuşmak olarak betimlemekte (a.g.e). Hatta bir seçmenin kulağına söylenen gerçekle, diğer bir seçmenin kulağına söylenen gerçek aynı olmayabilir, çünkü duyarlı oldukları mesajlar farklı. Böylece ortak olarak deneyimlenen olaylar kalmadığında, toplum parçalanmaya ve bireyler kulaklarına fısıldanan gerçekliklerde yaşamaya ve sonuç olarak davranışlarını buna göre şekillendirmeye başlıyor. Toplumun algısı ve yapısı bozulduğunda, kültürün yapısı da bozulmaya başlıyor. Çünkü toplumun değerlerini ve yaşayış biçimini oluşturan şeyin kültür olduğu düşünülürse, kültürü oluşturan birim ise insandır. Bu şekilde insanların davranışlarını değiştirecek bir yöntem bulunduğunda ise, tam olarak Steve Bannon’ın talep ettiği “Amerika’nın kültürünü değiştirme” isteği gerçekleşmiş oluyor.

Etik ihlaller karşısında Cambridge Analytica, Facebook ve Dr.Kogan

Tüm bu suçlamalar karşısında, kurumların eylemlerine yönelik yükümlülük aldıkları söylenemez. Cambridge Analytica kendisine yöneltilen tüm iddiaları reddediyor ve Donald Trump’ın başkanlık kampanyasında verdiklerin hizmetin bir parçası olarak Facebook verilerini kullanmadıklarını ve hatta bu müşterileri için kişiye yönelik hedeflenmiş reklamları kullanmadıklarını söylüyor (Osborne & Parkinson, 2018). Bu ifadeyi kendi sitelerinde, veriden edindikleri bilgiye temellendirilen hedeflenmiş reklamların test edildiğini ve ana savaş alanı olan eyaletlerde en ikna edilebilir seçmenlerde uygulandığı yazarak kendi ifadelerini çürütüyorlar (Cambridge Analytica, 2018). Kullandıkları verilerin, Cumhuriyetçi Parti Ulusal Komitesi (RNC) seçmen dosyalarından, sürekli olarak yaptıkları nabız yoklamalardan (yüz yüze, telefon konuşması ve çevrimiçi olarak yaptıkları anketler), kampanya verilerinden, erken ve gıyabında oy kullanma sonuçlarından ve ticaret komisyoncularından edindikleri tüketici verilerinden[3] geldiğini belirtiyorlar (Cambridge Analytica, 2018). Fakat Alexander Nix “The Power of Big Data and Psychographics” isimli konuşmasında seçimlerde kalan iki adaydan birisinin, OCEAN modelini ve tekniklerini kullandığını ve seçime kadar olan yedi haftayı nasıl etkileyeceğini görmenin ilginç olacağını söyleyerek yine kendi ifadesini çürütmüş durumda (Nix, 2016). Ayrıca, Cambridge Analytica yetkilileri Facebook verilerini aldıklarını ve kullandıklarını inkâr ettikten sonra, veriyi aldıklarını ama Facebook’un kurallarını Dr. Kogan’ın ihlal ettiğini ve iki yıl önce sorunu öğrenir öğrenmez verileri sildiklerini açıkladı (Granville, 2018). Dr. Kogan’dan eylemlerinin Facebook’un protokollerine uyumlu olduğuna yönelik teminat aldıklarını söyleyerek kendilerine yapılan suçlamaları reddediyorlar (Channel 4 News, 2018). Görünen o ki, Cambridge Analytica kendi tezini kendisi çürütmeye alışmış. “Reklamcılık zorlayıcı değildir; insanlar bundan daha akıllı” diye insanların mikro hedefleme ile manipüle edilmesini hedef kitlesinin zekâsına indirgediği tweet’ine karşılık olarak resmi Twitter sayfasının kapağını “veri temelli davranış değişikliği”[4] yapması oldukça ironik. Ya da normal mi karşılamalıyız? Kendilerini savunurken, mikro hedeflemeyi siyaset tarihinde ilk kez kendilerinin kullanmadığını ifade etmek için Obama’nın 2008 kampanyasını hedef göstermeleri oldukça ilginç. İnsanlarla birebir konuşarak kendi partisine oy vermeleri için ikna etmeye çalışmak ile insanların kendi verilerinin kendilerine karşı manipülasyon aracı olarak kullanıldığını bilmemesi arasındaki farkı gözetemiyor olmaları da diğer ilginç bir nokta. Bireyi seçmen olarak hedeflemek ile bireyi kişiliği üzerinden hedeflemek arasında büyük bir fark var[5].

Dr. Kogan’ın ise kullanıcıların profil verilerini toplamak için Facebook’tan lisansı vardı, fakat sadece akademik araştırma amaçlı olarak kullanabilirdi. Facebook’tan topladığı verileri Cambridge Analytica ile ticari amaçlı olarak paylaştığında Facebook’un kurallarını ve şartlarını ihlal etmiş oldu (Graham-Harrison & Osborne, 2018). Fakat Kogan, yaptığı her şeyin yasal olduğunu ve bu süreçte Facebook ile yakından çalıştığını ve uygulaması için kendisine izin verdiklerini söylüyor (a.g.e.).

Facebook ise bunun bir hacklenme olmadığını, sistemlerin içine sızılmadığını, hiçbir şifrenin ya da hassas veri parçasının çalınmadığı, fakat bunun şirket kurallarının ihlali olduğunu söylüyor (Rosenberg, Confessore, & Cadwalladr, 2018). 50 milyondan fazla kullanıcının verilerinin akademik amaçların dışında ticari amaçlarla kullanılmasından ve Facebook’un protokollerinin ihlal edilmesinden Cambridge Analytica’yı, Dr. Kogan’ı ve Chris Wylie’yi sorumlu tutuyor ve bu yüzden Facebook servislerine erişimlerini engelledi.

İnsanlar ise bu kadar kişinin verisi Facebook’tan çekilirken, Facebook’un neden bir şey yapmadığını sorguluyorlar. Mark Zuckerberg kendi Facebook profilinde yaptığı açıklamada, Kogan’ın uygulamasıyla topladığı verileri Cambridge Analytica ile paylaştığını öğrendiğinde, hem Kogan’ın hem de Cambridge Analytica’nın uygunsuz bir şekilde toplamış olduğu tüm verileri sildiğine dair resmi sertifika talep ettiğini ve bunun üzerine onların da bu sertifikaları Facebook’a temin ettiklerini yazıyor[6]. Fakat geçen haftalarda Cambridge Analytica’nın bu verileri söylediği şekilde tamamen silmediği ortaya çıktı. Bu durum Facebook kullanıcılarına iki şeyi düşündürüyor. Eğer insanların verisini kişilerin kendi onayları olmadan farklı amaçlarla kullanmak ve paylaşmak Facebook’un kurallarına aykırıysa, bu olay 2015 yılında gerçekleştiğinde neden bu durumdan etkilenen kullanıcılarını haberdar etmedi ve verilerin söylendiği şekilde silinmediğini öğrenene kadar -yani iki yıl boyunca- kamusal hiçbir açıklama yapmadan sessiz kaldı? İkinci soru ise Chris Wylie’nin iddia ettiği şekilde, Facebook, verilerin silinmesi talep ettikten sonra neden verilerin gerçekten silinip silinmediğini kontrol etmedi? Bir diğer nokta ise, Facebook’un sadece veri ihlalinden etkilenen bireyleri değil, aynı zamanda düzenleyicileri de bilgilendirmek gibi yasal bir zorunluluğu varken, bunu yapmayarak şeffaf ve açık olmak konusunda başarısız olmuş olması (Graham-Harrison & Osborne, 2018). Zuckerberg, yaşanan veri ihlali karşısında birkaç önlem alacaklarını belirtti; büyük miktarda veriye erişim sağlayan tüm uygulamaları araştırmak, şüpheli aktiviteleri olan herhangi bir uygulamayı denetimden geçirmek, denetimden geçmeyi reddeden geliştiricileri banlamak, eğer kişiyi tanımlayan verinin kötüye kullanıldığı fark edilirse bu uygulamadan etkilenen kişileri haberdar ermek (Kogan’ın uygulaması ile verileri kötüye kullanılan kişiler de dahil), geliştiricilerin veriye erişimini kısıtlamak, uygulamayı kullanırken kişilerin verdiği verileri azaltmak (isim, profil fotoğrafı ve e-mail adresi ile sınırlı tutmak), geliştiricilerin sadece onay almasını değil, kişilerin gönderilerine ve diğer kişisel verilerine erişmek için bir kontrat imzalamasını sağlamak gibi birçok önlem alacaklarını belirtti. Bu veri ihlalinin, Facebook ile verilerini paylaşan ve verilerini korumak konusunda Facebook’a güvenen insanlar arasındaki güvenin de ihlal edildiği anlamına geldiğini ve bunu düzeltecekleri söyledi[7].

Şirketler bu durumdan nasıl etkilendi?

Facebook ve Cambridge Analytica’nın itibarının zedelendiğini ve insanların güvenini kaybettiğini söyleyebiliriz. Hatta veri ihlali sonrası insanların Facebook’u ne kadar önemli gördüğünü ve güven duyduğunu anlamak için, Facebook bazı kullanıcılarına “Facebook’un dünya için iyidir” ifadesine ne kadar katıldıklarını oylamalarını istedi.

Screenshot from 2018-04-08 16-40-46 (1)

Bu durum, dünya genelinde aylık olarak 2,2 milyar aktif kullanıcısı bulunan bir platformun (The Statistics Portal, 2018), itibarının ne kadar zedelendiğini, yaşanan veri ihlali sonrası kullanıcıların ne düşündüğünü, bunun karşısında ne kadar önlem almaları, ne kadar zaman ayırmaları, ne kadar para harcamaları ve ne kadar yasal eylemde bulunmaları gerektiğini anlamalarının bir yolu olarak yorumlanabilir.

Veri ihlali sonucunda ya da Facebook’un adlandırdığı şekilde güven ihlali sonucunda, Facebook sadece insanların güvenini kaybetmedi, aynı zamanda skandalın ortaya çıktığı günden itibaren 80 milyar dolar piyasa değeri de kaybetti (Monica, 2018).

Nix ve Wylie İngiltere’de milletvekillerinin karşısına çıktılar ve Zuckerberg ABD Kongresi’nde ifade verdi. Nix açıklamasında Kogan’ın yaptığı araştırmayı verimsiz olarak tanımlarken (Channel 4 News, 2018), Facebook verilerini tutmadığını ve Facebook verileri üzerinde çalışmadıklarını söyledi (Guardian News, 2018). Zuckerberg  kongredeki ifadesinde, geliştirdikleri araçların zarar verme amaçlı olarak kullanılmasını engellemek için yeterince çaba göstermediklerini ve bunu sahte haberler, seçimlere dış müdahale, nefret söylemi, geliştiriciler ve veri gizliliği için de geçerli olduğunu belirterek olanlar karşısında sorumlu olduğunu ve yaşananların büyük bir hata olduğunu söyledi (Fox News, 2018). Ayrıca kongre öncesi hazırladığı ifadede önceliğinin her zaman için insanları birleştirme, topluluk kurma ve dünyayı bir araya getirme sosyal misyonu olduğunu ve kendisi Facebook’u işlettiği sürece reklamcıların veya geliştiricilerin asla önceliği olmayacağını vurguladı (Zuckerberg, 2018).

Veri ihlalinin bir sonucu olarak da insanlar #deletefacebook (Facebook’u sil) kampanyası başlattı. Bireylerin platforma duydukları güvenin kaybolduğunu ya da bireylerin kendi verilerinin sahipliğini talep ettiğini göstermek adına iyi bir eylem olarak değerlendirebiliriz, fakat internetin iş modeli göz önüne alındığında karılaştığımız sorunu çözmekten uzak liberal bir hareket olarak kalıyor. Safiya Noble’ın da bahsettiği üzere Facebook hesaplarını silmek, hayatlarımızın dijitalleşen her alanına yayılmış olan verileşmeye (datafication) bir çözüm olmayacak, belki sadece kısa bir süreliğine tatmin edebilir (Mahdawi, 2018). Bu hareketin, verinin nasıl toplandığı, satıldığı, ekonominin parçası haline geldiği ve metalaştığı gibi sorunlara bir çözüm olabilmesi mümkün gözükmüyor, çünkü bugün Facebook ve Cambridge Analytica arasında gerçekleşen ihlal aslında sadece Facebook ya da Cambridge Analytica ile sınırlı değil. Kişilerin verisini toplayan, satan, metalaştıran, ihlal eden ve üçüncü şahıslarla paylaşan tek platform Facebook değil. Birçok sosyal medya platformu ve şirket gerek ticari, gerek politik amaçlar için kullanıcılarını izliyor ve profillerini çıkartıyor. Ayrıca, bireyler Facebook’u silse bile Facebook’un logosunun olduğu web sitelerinde –Facebook kullanıcısı olmasalar dahi- izlenmeye devam edilecekler. Ayrıca, Facebook’un satın aldığı Instagram ve WhatsApp gibi birçok kişi tarafından kullanılan diğer uygulamaları da silecek miyiz?

Cambridge Analytica ve Facebook krizinin önemi

Tüm bu yaşananlar mahremiyet, veri sahipliği ve içine hapsedildiğimiz gerçekliği sorgulamak açısından önemli. Mahremiyetinizi kaybettiğiniz de ne olur? Facebook size verisi Cambridge Analytica tarafından kullanılmış olan kişilerden birisi olduğunuzu söylese ne hissedersiniz? Senatör Durbin Zuckerberg’e “dün kaldığınız otelin ismini bizimle paylaşabilir misiniz” ve “eğer bu hafta birileriyle mesajlaştıysanız, mesajlaştığınız kişilerin isimlerini bizimle paylaşabilir misiniz” sorularını sordu. Zuckerberg’in “hayır” demesi üzerine, “sanırım hepsi bundan ibaret, gizlilik hakkınız, gizlilik hakkınızın sınırları, dünyanın dört bir yanından insanları bir araya getirmek adı altında ne kadar bilgiyi dışarı verdiğiniz ile alakalı” dedi (PBS NewsHour, 2018).

Burada çok ince bir dengeden bahsedebiliriz; kullanıcıların mahremiyet ve verilerinin gizliliğine yönelik tutumu. İnsanlar, şirketlerin kendileriyle ilgili gerçekleri dozajında bildiğini hissettiğinde sorun görmezken, Cambridge Analytica örneğinde olduğu gibi kendileriyle ilgili her şeyi bildiğini ve manipüle edildiğini hissettiğinde korkabiliyor ve mahremiyet hakkını talep edebiliyor. Yani kullandığınız otobüs firması, en sık gittiğiniz iki şehir arasında size yönelik indirim verdiğinde, verilerin ticari olarak kullanılması normal karşılanırken –muhtemelen ortada kazan-kazan durumu olduğu için-, akıllı telefonunuzun yanında yaptığınız bir konuşmada geçen ürüne yönelik sosyal medya hesabınızda reklam gördüğünüzde, bu durum dehşet verici veya korkutucu olabiliyor. Fakat insanların verileri hakkında nasıl hissettiğinin bir önemi olmaksızın, nasıl kullanıldığı hakkında her zaman şüpheci yaklaşmaya ihtiyaçları olduğunu düşünebiliriz. Yine aynı şekilde, kullanıcıların sosyal medya, uygulamalar ve akıllı cihazlar aracılığıyla hayatlarının neredeyse her anını kamusal olarak paylaşmaya bu kadar gönüllü olduğu bir zamanda, bir şirketin kişilerin paylaşmaya gönüllü olduğu verilerle neler yapabileceğini gösterdiğinde insanların mahremiyet ve gizlilik hakkını tartışması da düşündürücü. Bu hak arayışı insanların verisinin nasıl kullanıldığına veya nasıl manipüle edildiğine dair belirsizlikten doğan korkudan mı kaynaklanıyor, yoksa gerçekten yapılan veri ihlaline karşı haklarını arama isteğinden mi kaynaklanıyor ayırt etmesi güç.

Bugün yaşananlar verinin sahipliği üzerinden de önemli, çünkü “benim verimin nasıl bir önemi olabilir”, “sosyal medyadaki beğenilerimin ya da paylaştığım fotoğrafların veya internette yaptığımın aramaların nasıl bir önemi olabilir” şeklinde sorulara cevap verdiğini görüyoruz. ”Benim gibi” derken kastedilen sıradan bir insanın verilerinin öneminin ne olup olmadığını verinin sahipliği üzerinden okuyabiliriz. Belki kişinin sosyal medyadaki tek bir beğenisi, arama motorunda yaptığı tek bir arama ya da çevrimiçi yaptığı tek bir yemek siparişi kişi hakkında çok fazla şey anlatmayabilir. Fakat o gün içinde yemek sipariş veren diğer herkesin verileriyle birlikte okunduğunda, “yağmurlu günlerde pizza siparişi artıyor” çıkarımı yapılabilir ve kişiye yönelik olarak pazarlanabilir. Cambridge Analytica örneğinde olduğu gibi kişinin beğenileri, mesajları, profil bilgileri ve arkadaşlarının bilgileri birlikte analiz edildiğinde, insan davranışını etkileyecek şekilde bireyler manipüle edilebilir. O halde, bireyin kendi verisini önemli görmüyor olmasının bir anlamı yok, çünkü kişinin kendi verisine atfettiği değerden bağımsız olarak verinin kendisinin ekonomik bir değeri var. Bu yüzden belki de Cem Yılmaz minvalinde “CIA’in de işi gücü yok bizi izliyor” esprilerinden sıkılmamız ve bilginin güç olduğunu ve bilgiye sahip olan şirketlerin veya kişilerin ise bu güçten yararlanmak istediğini anlamamız ve verilerimizin nasıl kullanıldığı konusunda hak talep etmemiz gerekiyor. Ancak bu şekilde eyleyen aktörlere dönüşebiliriz.

Bu gelişmeleri bireylerin kendi gerçekliklerine hapsedilmeleri üzerinden okumak da önemli. Mesajın hangi alıcıya ulaştığından ya da ne kadar etkili olduğundan emin olamadığımız kitlesel iletişimin aksine, mikro hedefleme ile hedef kitledeki insanlarla tek tek konuşabilmek ve vermek istenilen mesajı iletebilmek mümkün hale geldi. Fakat bunu kişiselleşmiş politik reklamlar ve mesajlar açısından düşündüğümüzde çok önemli bir sonucun ortaya çıktığını görebiliriz. Bireylerin korkularını, ihtiyaçlarını ve duyarlılık gösterdiği konuları baz alarak davranışlarını manipüle etmek için oluşturulan mesajlar ve hikâyeler, her bir birey için farklı gerçeklikler yaratıyor. Yani bir kişinin gördüğü gerçekliği bir diğer kişi görmüyor. Herkes kendi gerçekliğinin ve bilgi diyeti balonunun içine hapsedilmiş durumda. Bunun demokratik süreç adına yapıldığı göz önüne alındığında, kültürün yapısının bozulduğunu ve toplumun ortak deneyimlediği ve ortak algıladığı olayların ortadan kalktığını ve kamusal yapının parçalandığını görebiliriz.

Bir diğer önemli çıkarım ise, Cambridge Analytica örneği gerçekleşene kadar çevrimiçi yayılan sahte haberlerin, manipülasyonun ya da mikro hedeflemenin, ne yapacağı kararsız yüzer-gezer seçmenler ve eleştirel medya okuryazarlığını geliştirmemiş kişiler için etkili olabileceğini düşünüyorduk. Fakat Cambridge Analytica bunun düşündüğümüz şekilde olmadığını, okuryazar ya da eleştirel olan bireylerin de manipüle edilebileceğini gösterdi. Çünkü sizin hakkınızda toplanan dijital izler, sizin kim olduğunuz hakkında biricik hikâyeler anlatıyor. Bu hikâyeler isminiz, soy isminiz, cinsiyetiniz, e-mail adresiniz ve yaşınız ile sınırlı değil. Korkularınız, davranışlarınız, tercihleriniz, seçimleriniz ve zevkleriniz de bu anlatının bir parçası olduğunda, ikna edilemez olduğu düşünülen bireylerin bile hedeflenebilir olduğunu gördük, çünkü herkesin dinleyeceği bir anlatı, herkesin önem vereceği bir konu ve herkesin yüzleşmekten çekindiği korkuları mevcut. Bu verileri üzerinde çalışması için bir algoritmaya verdiğinizde ve algoritma zaman içinde verilerden öğrendiğinde, sizi arkadaşlarınızdan, eşinizden ve hatta kendinizden daha iyi tanıyacak kadar bilebilir. Dr. Michal Kosinski’nin çalışmasında ortaya koyduğu üzere, bireyin kişiliğini tahmin etmek için bir algoritmaya verilen 11 beğeninin iş arkadaşlarından, 100 beğeninin yakın arkadaşlarından ve aile bireylerinden, 250 beğeninin ise eşinden daha iyi tahminde bulunduğu göstermektedir (Kosinski, 2017).

Sonuç: İnternetin buzdağı modeli, distopya ve optimizm

Bu anlamda, Cambridge Analytica örneğinin buz dağının görünen bir parçası olduğunu söylemek yanlış olmayacaktır. Bunun için üç sebep var. Birincisi, artık herkesin mikro hedeflemenin ve manipülasyonun bir parçası olabileceğini gerçek bir örnek ile görmüş olmak ileride neler yapılabileceğinin bir göstergesi niteliğinde. İkincisi, Facebook ve Cambridge Analytica bunu yapan tek şirket değil. Bir buzdağı hayal edelim ve buzdağının görünen ucuna Facebook ve Cambridge Analytica’yı koyalım. Bugün gördüğümüz bundan ibaret. Fakat buzdağının altında bu şekilde çalışmaya devam eden birçok şirket var. Her gün veri ihlaliyle karşılaşmasak da[8], her gün bireylerin verilerinin toplandığına, satıldığına, işlendiğine, metalaştığına ve sömürüldüğüne tanıklık ediyoruz. Çünkü internetin iş modeli bireylerin verileri üzerinden kar etmeyi hedefliyor. Üçüncüsü ise geleceğe yönelik. Her gün hayatımızın bir alanı daha dijitalleşiyor ve arkamızda bıraktığımız dijital izlerin sayısı ve alanı artıyor. Sadece çevrimdışı hayatın çevrimiçi olması değil, dijitalleşen bedenin ve eylemlerin bilgisini toplayan cihazların birbiriyle konuşması –sensörlerin birbiriyle iletişim kurması- da söz konusu. İleride daha fazla verimlilik bizleri bekliyor. Bu yüzden, eğer bugün doğru kararları, yasal uygulamaları alamazsak, sektörel bir bakış açısı yerine insanı bir bakış açısı kazanmazsak ya da doğru soruları soramazsak, Cambridge Analytica örneğinin bize gösterdiği üzere, hayatlarımızın en mahrem alanına kadar uzanan ve iliklerimize kadar sömürülebileceğimiz bir dijital devrimden geçeceğiz[9]. Bunu öngörmek yanlış olmayacaktır.

Bu durumda, veri distopyasından bahsedebilir miyiz? Her şey daha distopik mi olacak? O halde mahremiyeti sağlamak, verinin sahipliğini ve gizlilik hakkını talep etmek için yapmalı? Yoksa mahremiyet ve gizlilik dediğimiz şeyler paylaşma ekonomisinde çoktan kaybettiğimiz bir savaş mı? Bugün sahip olduğumuz teknolojileri ve arkasından gelecek olan gelişmeleri korkarak reddetmek doğru olmayacaktır. Fakat değinilmesi gereken ilginç bir nokta, insan ırkı her ne kadar teknolojik gelişmelerle ilerlese de, sanatını her zaman sömürü ve kar üzerinden ifade ettiği için insani bakış açısını bir türlü kazanamayarak evrimini tamamlayamıyor gibi.

Peki, veri analizi ve psikografik profilleme gibi gelişmiş yöntemler kar ve sömürü amaçlı kullanılabiliyorsa, toplumdaki sorunları iyileştirmek ve toplumu geliştirmek için nasıl kullanılabilir? Algoritmaların kapasitelerinden nasıl faydalanabiliriz? Dr. Michal Kosinski’nin belirttiği üzere, algoritmaların faydası bizlerin psikolojik özelliklerini anlayabilmesi ve gelecekti davranışlarımızı tahmin edebilmesidir. Bu sayede, insanları çalışacakları işlerle eşleştirme, hangi kariyerde ilerleyeceği konusunda tavsiyede bulunma, bir ekipte çalışacak olan insanları birbirleriyle eşleştirme gibi istihdam ile ilgili konularda; insanların depresyona ya da farklı bir hastalığa yakalanıp yakalanmayacaklarını tahmin etme, insanları manipüle etmeden hedeflenmiş reklamlar ile sağlıklı beslenmeye veya sigara tüketimini azaltmaya teşvik etme gibi sağlık sistemi ile ilgili konularda; kişilerin güçlü oldukları konuları tespit ederek eğitimin kişiselleştirilmesi gibi eğitim ile ilgili konularda algoritmalar fayda sağlayabilir (Kosinski, 2017). Ayrıca siyaset, politik iletişim ve demokrasi için de fayda sağlayabilir. İnsanlara sloganlarla konuşmak yerine, önem verdikleri ve ilgi duydukları konular hakkında birebir konuşmak kişilerin siyasi katılımını da artırabilir. Bu durum, bugün olduğu gibi manipülasyonu da beraberinde getirilebilir, fakat eğer vatandaşlar kendilerine gönderilen kişiselleştirilmiş politik mesajları birbiriyle paylaşırlarsa, siyasetçilerin yalan söylemesinin ya da sahte haberlerin yayılmasının da önüne geçilebilir (a.g.e.). Bunun için kişilerin aldıkları mesajların kendi gerçekliğine yönelik olduğunu algılaması ve toplum ile paylaşması gerekli olacaktır. Kişiselleşmiş politik mesajlar ile siyasetçiler için pazarlama bütçesi de azabilir, böylece siyasi rekabeti sürdürmek için gerekli bütçeye sahip olmayan ve azınlığı temsil eden partilerin de mesajlarını iletmesi mümkün olabilir. Politik iletişimin kişiselleşmesiyle, azınlık olan grupların düşünceleri veya ilgilendikleri sorunlar da daha görünür olacaktır, böylece insanların sorunları siyasetçilerin sorunları haline gelmeye başlayabilir (a.g.e.).

Sonuç olarak, bugün yaşanılan veri ihlalinin önemi belki de sonrasında getireceği etik tartışmalar, çözümler ve eylemlerdir. Sosyal ağların ve internetteki aktörlerin eylemlerinde daha sorumlu ve yükümlü olmasının önünü açacağını söyleyebilir miyiz? Bu sorunun cevabını, yaşanılan ihlalin sadece bir durum olarak kalıp kalmayacağı, sonrasında aktörleri yasal eylemlere ve yaptırımlara zorlayıp zorlamayacağı belirleyecektir. Fakat bugün yaşadıklarımızın, etik bir tartışmayı başlatabilmesi, kullanıcıları yaşamlarını sergiledikleri platformların nasıl çalıştığı hakkında şüpheci yaklaşmaya itebilmesi ve içinde yaşadığımız gözetime ve kapitale perçinlenmiş toplumu güvenli, yaşanabilir bir yer haline getirmek için neler yapılabileceğini düşündürebilmesi açısından önemli bir fırsat olabilir.

Referanslar

Cambridge Analytica. (2018, Nisan 12). Donald J.Trump for President. CA Political: https://ca-political.com/casestudies adresinden alınmıştır

Cambridge Analytica. (2018, Nisan 12). The data we used on the 2016 US presidential campaign. CA Political: https://ca-political.com/news/data-we-used-2016-us-presidential-campaign adresinden alınmıştır

Channel 4 News. (2018, Mart 18). Cambridge Analytica boss under fire from MPs. YouTube: https://www.youtube.com/watch?v=u5aQgS2Uh1M adresinden alınmıştır

Channel 4 News. (2018, Mart 2018). Cambridge Analytica: Whistleblower reveals data grab of 50 million Facebook profiles. YouTube: https://www.youtube.com/watch?v=zb6-xz-geH4 adresinden alınmıştır

Fox News. (2018, Nisan 10). Mark Zuckerberg admits to ‘big mistake’ at Senate hearing. YouTube: https://www.youtube.com/watch?v=nEwuo-F7eso adresinden alınmıştır

Graham-Harrison, E., & Osborne, H. (2018, Mart 17). Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach. The Guardian: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election adresinden alınmıştır

Graham-Harrison, E., Cadwalladr, C., & Osborne, H. (2018, Mart 19). Cambridge Analytica boasts of dirty tricks to swing elections. The Guardian: https://www.theguardian.com/uk-news/2018/mar/19/cambridge-analytica-execs-boast-dirty-tricks-honey-traps-elections adresinden alınmıştır

Granville, K. (2018, Mart 19). Facebook and Cambridge Analytica: What You Need to Know as Fallout Widens. The New York Times: https://www.nytimes.com/2018/03/19/technology/facebook-cambridge-analytica-explained.html adresinden alınmıştır

Guardian News. (2018, Mart 19). Cambridge Analytica chief denies working with Facebook data. YouTube: https://www.youtube.com/watch?v=pvai-hAb1gc adresinden alınmıştır

Kosinski, M. (2017, Eylül 14). Dr. Michal Kosinski on Facebook, Big Data, and Psychographic Profiling. YouTube: https://www.youtube.com/watch?v=XKNFjVM2SfY adresinden alınmıştır

Kosinski, M. (2017, Mart 24). Keynote “The End of Privacy”, Dr. Michal Kosinski. YouTube: https://www.youtube.com/watch?v=NesTWiKfpD0&feature=youtu.be adresinden alınmıştır

Mahdawi, A. (2018, Mart 20). Facebook: is it time we all deleted our accounts? The Guardian: https://www.theguardian.com/technology/2018/mar/20/facebook-is-it-time-we-all-deleted-our-accounts adresinden alınmıştır

Monica, P. R. (2018, Mart 27). Facebook has lost $80 billion in market value since its data scandal. CNN Money: http://money.cnn.com/2018/03/27/news/companies/facebook-stock-zuckerberg/index.html adresinden alınmıştır

Nix, A. (2016, Eylül 27). Cambridge Analytica – The Power of Big Data and Psychographics. YouTube: https://www.youtube.com/watch?v=n8Dd5aVXLCc&app=desktop adresinden alınmıştır

Osborne, H., & Parkinson, H. J. (2018, Mart 22). Cambridge Analytica scandal: the biggest revelations so far. The Guardian: https://www.theguardian.com/uk-news/2018/mar/22/cambridge-analytica-scandal-the-biggest-revelations-so-far adresinden alınmıştır

PBS NewsHour. (2018, Nisan 10). Sen. Durbin to Zuckerberg: Would you share the name of the hotel you stayed in last night? YouTube: https://www.youtube.com/watch?v=rTIKWURvbQ4 adresinden alınmıştır

Rosenberg, M., Confessore, N., & Cadwalladr, C. (2018, Mart 17). How Trump Consultants Exploited the Facebook Data of Millions. The New York Times: https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html adresinden alınmıştır

The Guardian. (2012, Nisan 9). Facebook buys Instagram for $1bn: full statement by Mark Zuckerberg. The Guardian: https://www.theguardian.com/technology/2012/apr/09/facebook-buys-instagram-mark-zuckerberg adresinden alınmıştır

The Guardian. (2018, Mart 17). Cambridge Analytica whistleblower: ‘We spent $1m harvesting millions of Facebook profiles’. YouTube: https://youtu.be/FXdYSQ6nu-M adresinden alınmıştır

The Guardian. (2018, Mart 20). What is the Cambridge Analytica scandal? YouTube: https://youtu.be/Q91nvbJSmS4 adresinden alınmıştır

The Statistics Portal. (2018, Nisan 12). Number of monthly active Facebook users worldwide as of 4th quarter 2017 (in millions). Statista: https://www.statista.com/statistics/264810/number-of-monthly-active-facebook-users-worldwide/ adresinden alınmıştır

Zuckerberg, M. (2018, Nisan 11). Hearing Before the United States House of Representatives Committee on Energy and Commerce. Document Cloud: https://www.documentcloud.org/documents/4434114-HHRG-115-IF00-Wstate-ZuckerbergM-20180411.html?embed=true&responsive=false&sidebar=false adresinden alınmıştır

Sonnotlar

[1] “Advertising is not coercive; people are smarter than that” https://twitter.com/CamAnalytica/status/975081781702492160

[2] “Obama’s 2008 campaign was famously data-driven, pioneered microtargeting in 2012, talking to people specifically based on the issues they care about” https://twitter.com/CamAnalytica/status/975081782625226752

[3] https://twitter.com/CamAnalytica/status/979411559448502273

[4] https://twitter.com/camanalytica

[5] Tüm bunlara ek olarak, Cambridge Analytica eski CEO’su Alexander Nix’in seçim kampanyalarını etkilemek için bal tuzakları, sahte haber kampanyaları ve eski casuslarla operasyonlar yapabileceklerini söylediği video açığa çıktığından beri itibarlarının iyice zedelendiğini söyleyebiliriz (Graham-Harrison, Cadwalladr, & Osborne, 2018)

[6] https://www.facebook.com/zuck/posts/10104712037900071

[7] https://www.facebook.com/zuck/posts/10104712037900071

[8] Her gün veri ihlaliyle karşılaşmıyor olmamızın sebebi, verilerin sömürülmemesinden değil, sömürünün kullanım politikaları uyarınca yasal bir şekilde yapılmasından ve bireylerin bu platformları ya da hizmetleri kullanmadan önce bu şartları kabul etmesinden kaynaklanıyor.

[9] Bu devrim, gücü yani bilgiyi ve bilgiyi işleme gücünü elinde bulunduran kişileri etkileyemeyecektir, tıpkı senatörün sorusu karşısında Zuckerberg’in nerede kaldığı ya da kiminle mesajlaştığı bilgisini kamusal olarak paylaşmayı istemediğini söylemesi örneğinde olduğu gibi. Kendi verisi üzerinde gizlilik hakkına sahip olmayan bireyler sömürünün bir parçası haline gelirken, Zuckerberg gibi kendi bilgisini paylaşmama hakkını kendisinde bulan veri sahipleri bu sömürüden etkilenmeyecektir.

 


Türkiye’de İnternet’in 25 yılında İfade Özgürlüğü…

Nisan 12, 2018

Av.Faruk Çayır/Ankara Barosu ve Alternatif Bilişim Derneği

Bu gün internetin 25. Yılında yaşamımıza getirdiği yenilikler ve internetin günlük hayatımızda yapmış olduğu katkılardan bahsediyoruz. Ancak Türkiye’de son 10 yıl içerisinde ciddi bir internet sansürü, engellemeler ve yasaklar ile karşı karşıyadır.

images

Türkiye’ de 2008 yılında video paylaşım siteleri Youtube’ a erişim yaklaşık 2 sene engellendi, yine bir diğer video paylaşım sitesi Daily Motion’ da uzun bir dönem mahkeme kararıyla kapalı kaldı.

Yine çeşitli gerekçelerle kapatılan siteler arasında Mysapce, İmgur, WordPress, blogger gibi internet siteleri de yer aldı. Ancak daha çok günlük hayatımızın bir parçası haline dönüşen twitter’ ın birden fazla kez erişimin engellenmesiyle internet sansürlerinden etkilenir olduk.

Türkiye’de her geçen gün erişim engelleri ve sansürün sıklaşmasıyla birlikte, throttling (yani internetin boğazını sıkmak) uygulamalarıyla internet hızı yavaşlatılarak herhangi bir mahkeme kararı olmaksızın internet sitesine erişim engellenebiliyor.

Yaklaşık 2 yıldır internet ansiklopedisi Wikipedia’ ya erişim engelli durumda.

Bunun yanında trajikomik bir şekilde Youtube’ un engellenmiş olduğu dönemde “ben de VPN ile erişiyorum, demek ki siz de girebilirsiniz” güzellemesi yapılan ve yaşanan tüm bu erişim engellememeleri ve sansüre karşı daha çok kullanılmaya başlayan sanal özel ağ-VPN servislerine erişim de yine BTK tarafından engellenmiş durumda.

Engelliweb’ in açıklamış olduğu istatistiklere göre 2008 yılında 835, 2011 yılı 6506, 2013 yılı 15418, 2014 yılında T.İ.B. tarafından 17.000 internet sitesine erişim engellendi ve toplamda 60.000 e yakın internet sitesine erişim engellendi.

2015 yılında hazırlanan Avrupa konseyi raporuna göre 110.000 web sitesine ve yaklaşık 17.000 bağlantı adresine Türkiye’ de erişim engellendi.

Hali hazırda Türkiye ne kadar web sitesi ve bağlantı adresine erişim engeli kararı verilmiş olduğunu bilmiyoruz. Çünkü Türkiye’ de hangi internet sitesine, hangi mahkeme kararına dayanılarak erişim engeli kararı verildiğinin istatistiğini derleyen Engelliweb isimli internet sitesi dahi yaklaşık 2 yıldır engellenmiş durumda!

Geçen haftalarda bir ülkenin konsolosluğu Türkiye’de telefon ve internet kullanımının güvenli olmadığı gerekçesi ile telefon ve bilgisayarlarına VPN kurmaları yönünde tavsiyelerde bulundu. Bu durum dahi Türkiye de internet kullanımının geldiği son noktayı özetlemektedir.

2013 yılında 5651 sayılı yasada yapılan değişiklikle ifade özgürlüğünün önünde engel teşkil eden ve büyük tartışmalara rağmen eklenen 8-A maddesi ile BTK’ ya geniş yetkiler tanındı. Başbakanlık veya ilgili Bakanlıkların talebi üzerine Başkan tarafından mahkeme kararı olmaksızın içeriğin çıkarılması ve/veya erişimin engellenmesi kararı verilebilmektedir. Yine bu maddenin 3. bendine göre “verilen erişimin engellenmesi kararları, ihlalin gerçekleştiği yayın, kısım, bölüm ile ilgili olarak (URL, vb. şeklinde) içeriğe erişimin engellenmesi yöntemiyle verilir. Ancak, teknik olarak ihlale ilişkin içeriğe erişimin engellenmesi yapılamadığı veya ilgili içeriğe erişimin engellenmesi yoluyla ihlalin önlenemediği durumlarda, internet sitesinin tümüne yönelik olarak erişimin engellenmesi kararı verilebilir.

680 sayılı OHAL Kanun Hükmünde kararnamesinin 27. Maddesine göre 2559 sayılı Kanunun ek 6 ncı maddesine aşağıdaki fıkra eklenmiştir. “Polis, sanal ortamda işlenen suçlarda, yetkili Cumhuriyet başsavcılığının tespiti amacıyla, internet abonelerine ait kimlik bilgilerine ulaşmaya, sanal ortamda araştırma yapmaya yetkilidir. Erişim sağlayıcıları, yer sağlayıcıları ve içerik sağlayıcıları talep edilen bu bilgileri kolluğun bu suçlarla mücadele için oluşturduğu birimine bildirir.”  Bu değişiklik ile sosyal medyada bir jurnalcilik ve korku havası oluşturulmuş durumda. Yapılan her paylaşımın takip edileceği ve şikayet edilebileceği korkusu ifade özgürlüğünü tamamen ortadan kaldırmıştır. OHAL KHK’sı ile yapılan bu düzenleme ile ifade özgülüğü ve internet özgürlüğünün engellenmesine yasal bir serbesti getirilmiştir. Bunun sonucu olarak 2 yıldır muazzam bir şekilde baskı ortamı yaratılarak sosyal medya paylaşımları nedeniyle net olmamakla beraber 38.000 kişi gözaltına alınıp hakkında dava açılmıştır.

Ayrıca son günlerde yaşanan Facebook’ un kullanıcı verilerini kötüye kullanması skandalı, Türkiye’ de sosyal medya platformlarının tek boyutlu kullanıldığı göz önüne alındığında kullanıcıların algoritmik manipülasyonlara ve kişisel verilerinin kötüye kullanılmasına daha fazla açık olduğunu göstermektedir.  Toplumumuzda sosyal medya kullanıcıları arasında eşitsizlik artmakta, popülizm uğruna iktidar yanlısı ve askeri söylemlerle toplumsal kutuplaşma artılmakta, yalan haberler ile bu kutuplaşma perçinlenmektedir.

Tüm bunlar da yetmezmiş gibi torba yasa ile RTÜK kanununda değişiklik yapılarak İnternette yayın yapmak isteyen medya hizmet sağlayıcılara üst kuruldan yayın lisansı, bu yayınları internet ortamından iletmek isteyen platform işletmecileri yayın iletim yetkisi almak zorunluluğu getirildi. Üst Kuruldan alınan geçici yayın hakkı ve/veya yayın lisansı bulunmayan ya da bu hak ve/veya lisansı iptal edilen gerçek ve tüzel kişilerin yayın hizmetleri RTÜK tarafından tespit edilirse,  RTÜK’ün talebi üzerine sulh ceza hakimi tarafından içeriğin çıkarılması ve/veya erişimin engellenmesine karar verilebilecektir.

Bu düzenleme ile muhalif medya yayınlarına, internet üzerinden görüntülü günlük olay ve durum değerlendirmeleri yapan gazetecilere, periscope, hatta facebook’a,  lisans alma zorunluluğu getirilmekte, kişilere evlerinde ve iş yerlerinde adeta televizyon kanalı kurma zorunluluğu getirilmektedir.

Avrupa Komisyonu İnternet Kullanıcıları İçin İnsan Hakları Rehberi ve B.M. İnternette İnsan Hakları Ve İlkeleri Şartı açık olarak; uluslararası sözleşmelerde yer alan insan haklarını ve temel özgürlüklerini güvence altına alan tüm yükümlülükler internet kullanımı bağlamında da geçerlidir. Bu bağlamda, ifade özgürlüğü, bilgiye erişim, toplanma özgürlüğü, özel hayatın korunması ve kişisel verilerin korunması haklarının savunulmasıyla ilgili diğer tüm haklar internet ortamında da korunacaktır. İnternet bugün, düşünce ve ifade özgürlüğünün gerçekleştiği öncelikli iletişim alanı haline gelmiştir; aynı şekilde, müdahale edilmeden, sansürlenmeden bilgi edinme ve haber alma hakkının özgürce kullanılabildiği en önemli platformdur. Dahası, internet herkesi bir yayıncı haline getirmekte, bu yönüyle iletişimi demokratikleştirmekte ve kamu yararının ortaya çıktığı ayrıcalıklı iletişim ve etkileşim platformuna dönüşmektedir. İşte bu yüzden, internetin evrenselliği, bütünlüğü, açıklığı ve çok sesliliği söz konusudur.

AİHM ve Anayasa Mahkemesinin kararları dikkate alındığında “İnternet modern demokrasilerde başta ifade özgürlüğü olmak üzere temel hak ve özgürlüklerin kullanılması bakımından önemli bir araçsal değere sahip bulunmaktadır. İnternetin sağladığı sosyal zemin kişilerin bilgi ve düşüncelerini açıklama, karşılıklı paylaşma ve yaymaları için vazgeçilmez niteliktedir. Bu nedenle düşünceyi açıklamanın günümüzde en etkili ve yaygın yöntemlerinden biri haline gelen internet ve sosyal medya araçları konusunda yapılacak düzenleme ve uygulamalarda devletin ve idari makamların çok hassas davranmaları gerektiği açıktır.

Yapılan kanuni düzenlemeler, alınan kararlar ve yapılan uygulamalar demokratik toplum düzeninin gereklerine aykırıdır. Temel hak ve özgürlüklerden olan ifade özgürlüğüne ilişkin alınan engelleme kararları ölçülü olmadığı gibi, en temel hak ve özgülüklerden ifade özgürlüğünün amacına uygun şekilde kullanılamaz hale koyan ve etkisini ortadan kaldıran bir sınırlama olup temel hak ve özgürlüklerin özüne dokunduğu açıktır.

makgul

Geçen yıl aralık ayında kaybettiğimiz, Türkiye’de interneti ilk kullanan ve Türkiye’de ilk web sayfasını kuran kişilerden biri olan,  internetin babası, Doç. Dr. Mustafa Akgül hocanın ”internet yaşamdır” sözünü bir kez daha hatırlatıyoruz. İnternet hak savunucuları ve tüm internet kullanıcıları açık, özgür, sansürsüz, güvenli internet için bir araya gelmeli ve ortak mücadele alanları yaratmalıdır


%d blogcu bunu beğendi: